Incidenti e Violazioni

Supply chain attack su Uncanny Automator Pro: build backdoorata v7.3.0.5 distribuita a migliaia di siti WordPress

Dario Fadda 17 Giugno 2026

Il 12 giugno 2026, un attaccante sconosciuto ha compromesso l’infrastruttura di distribuzione di Uncanny Automator Pro, uno dei plugin WordPress più diffusi con oltre 50.000 installazioni attive. Il risultato: una build malevola — la versione 7.3.0.5 — consegnata automaticamente a una percentuale dei siti che usano il plugin, trasformando il canale di aggiornamento in un vettore di attacco. Un caso da manuale di supply chain attack nel mondo WordPress.

Cos’è Uncanny Automator e perché è un target appetibile

Uncanny Automator, sviluppato dalla società canadese Uncanny Owl, è un plugin WordPress per l’automazione di workflow. Permette di connettere plugin, app e servizi creando “ricette” automatizzate — integrazioni tra WooCommerce, BuddyBoss, LearnDash, Slack e molti altri. La versione Pro conta migliaia di siti attivi e viene distribuita tramite il sito automatorplugin.com, server di aggiornamento e licensing separato dal repository ufficiale di WordPress.org.

Questo modello di distribuzione autonomo — comune tra i plugin premium — è esattamente ciò che ha reso possibile l’attacco: compromettere automatorplugin.com significa controllare cosa viene consegnato agli aggiornamenti automatici di migliaia di siti WordPress.

Come si è svolto l’attacco

Secondo la comunicazione ufficiale firmata dal co-fondatore Ken, l’attaccante ha sfruttato una vulnerabilità in un software di terze parti in esecuzione su automatorplugin.com per ottenere accesso ai sistemi dell’azienda. Una volta dentro, ha eseguito due operazioni ad alto impatto in rapida successione:

  • Tampering del pacchetto di aggiornamento: la build legittima di Uncanny Automator Pro sul server di distribuzione è stata sostituita con una versione backdoorata, etichettata come versione 7.3.0.5.
  • Accesso al database di licensing: l’attaccante ha violato il database dello store e del sistema di licenze, esfiltrando dati cliente.

Il repository del codice sorgente non è stato toccato — un dettaglio importante che limita l’impatto futuro ma non quello immediato, poiché i siti non scaricano il codice dal repository ma dal server di distribuzione.

La finestra di esposizione: 21 ore di distribuzione malevola

La build compromessa è rimasta disponibile per circa 21 ore, dal 12 al 13 giugno 2026, quando Uncanny Owl ha rilevato l’intrusione e rimosso l’accesso dell’attaccante. In questa finestra, la versione 7.3.0.5 è stata distribuita a meno del 6% dei siti attivi che usano il plugin Pro — un numero contenuto, ma potenzialmente ancora nell’ordine delle migliaia di installazioni WordPress compromesse.

La versione gratuita Uncanny Automator Lite, distribuita tramite il repository ufficiale di WordPress.org, non è stata interessata dall’attacco.

Dati esposti e rischi per i clienti

La violazione del database di licensing ha esposto i seguenti dati per i clienti registrati:

  • Nomi e indirizzi email
  • Chiavi di licenza del plugin
  • URL dei siti WordPress associati alle licenze

Dati di pagamento e numeri di carta non sono stati compromessi poiché l’azienda non li memorizza. Le password erano archiviate come hash crittografici — non in chiaro — ma come misura precauzionale Uncanny Owl ha resettato tutte le password degli account.

La combinazione di email + URL del sito + chiave di licenza crea però un vettore di phishing estremamente credibile: un attaccante può inviare email personalizzate fingendo di essere Uncanny Owl, chiedendo di installare “l’ultima versione” del plugin — che potrebbe essere di nuovo una build malevola. È un rischio che persiste anche dopo la remediation dell’infrastruttura.

Risposta dell’azienda e remediation

Uncanny Owl ha risposto rapidamente una volta rilevata l’intrusione:

  • 13 giugno: rimosso l’accesso dell’attaccante, rilasciata la versione pulita 7.3.0.6
  • 14 giugno: completata l’indagine, nessun segno di reinfezione
  • Eliminati account amministratore non autorizzati, entry malevole nel database e task pianificati inseriti dall’attaccante
  • Rotazione di tutte le credenziali e chiavi esposte

L’azienda ha pubblicato un Security Incident Notice completo sul proprio sito con tutti i dettagli e gli step di remediation raccomandati.

Il rischio residuo: la 7.3.0.5 è ancora in circolazione

Un aspetto critico sottolineato da Uncanny Owl riguarda la persistenza del rischio: installare una build 7.3.0.5 da qualsiasi fonte infetterà ancora il sito. Non è sufficiente che il server di distribuzione sia ora pulito. Copie della build malevola potrebbero circolare su repository non ufficiali, forum di pirateria software o essere utilizzate in attacchi successivi.

Inoltre, un aggiornamento in-place verso la 7.3.0.6 non è sufficiente per i siti già infetti: il backdoor installato dalla 7.3.0.5 può persistere indipendentemente dall’aggiornamento del plugin. È necessaria una remediation completa.

Cosa devono fare gli amministratori WordPress

  • Verificare immediatamente la versione installata del plugin: deve essere 7.3.0.6 o superiore, mai 7.3.0.5
  • Se il sito ha eseguito la 7.3.0.5, trattarlo come compromesso e seguire la procedura di remediation completa indicata da Uncanny Owl
  • Resettare la password dell’account su automatorplugin.com tramite i canali ufficiali
  • Monitorare eventuali email sospette da mittenti che si spacciano per Uncanny Owl o Uncanny Automator
  • Non installare la versione 7.3.0.5 da nessuna fonte, anche se presentata come “originale”
  • Verificare l’assenza di account amministratore WordPress non autorizzati, task pianificati anomali e modifiche al database
# Indicatori di compromissione da verificare su siti WordPress con plugin v7.3.0.5

# 1. Account amministratore WordPress non autorizzati
SELECT user_login, user_email FROM wp_users 
JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE meta_key = 'wp_capabilities' AND meta_value LIKE '%administrator%'
ORDER BY user_registered DESC;

# 2. Task schedulati WordPress anomali (wp-cron)
SELECT * FROM wp_options WHERE option_name = 'cron' -- cercare entry con hook sconosciuti

# 3. Modifiche recenti a file core o plugin (ultimi 21 giorni)
find /path/to/wordpress -newer /path/to/wordpress/wp-config.php -name "*.php" 
  -not -path "*/cache/*" -not -path "*/uploads/*"

# Versione sicura: >= 7.3.0.6
# Versione compromessa: 7.3.0.5 (da qualsiasi fonte)
# Versione Lite (WordPress.org): non interessata dall'attacco

L’incidente di Uncanny Automator si inserisce in un pattern preoccupante di supply chain attack contro plugin WordPress premium, dove la distribuzione autonoma fuori dal repository ufficiale diventa il tallone d’Achille. La dipendenza da infrastrutture di distribuzione di terze parti, spesso meno protette del repository centrale, continuerà a essere un vettore di attacco privilegiato per chi vuole colpire a scala migliaia di siti simultaneamente.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Supply chain attack su Uncanny Automator Pro: build backdoorata v7.3.0.5 distribuita a migliaia di siti WordPress, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ le newsletter ]]