Un atac de tip supply chain care implica 21 de extensii Magento cu backdoor a compromis intre 500 si 1.000 de magazine de comert electronic, inclusiv unul apartinand unei companii multinationale de 40 de miliarde de dolari.
Cercetatorii de la Sansec, care au descoperit atacul, raporteaza ca unele extensii aveau backdoor-uri inca din 2019, dar codul malefic a fost activat abia in aprilie 2025.
„Mai multi furnizori au fost hackuiti intr-un atac coordonat de tip supply chain, Sansec a descoperit 21 de aplicatii cu acelasi backdoor,” explica Sansec.
„Curios, malware-ul a fost injectat acum 6 ani, dar a prins viata saptamana aceasta cand atacatorii au preluat controlul complet al serverelor de comert electronic.”
Sansec spune ca extensiile compromise sunt de la furnizorii Tigren, Meetanshi si MGS:
Sansec a descoperit de asemenea o versiune compromisa a extensiei Weltpixel GoogleTagManager, dar nu a putut confirma daca punctul de compromis a fost la furnizor sau pe site.
In toate cazurile observate, extensiile includ un backdoor PHP adaugat intr-un fisier de verificare a licentei (License.php sau LicenseApi.php) folosit de extensie.
Acest cod malefic verifica cererile HTTP care contin parametri speciali numiti „requestKey” si „dataSign,” care sunt folositi pentru a efectua o verificare impotriva cheilor predefinite din fisierele PHP.
Daca verificarea este reusita, backdoor-ul ofera acces la alte functii de administrare din fisier, inclusiv una care permite unui utilizator remote sa incarce o licenta noua si sa o salveze ca fisier.
Acest fisier este apoi inclus folosind functia „include_once()” PHP, care incarca fisierul si executa automat orice cod din fisierul de licenta incarcat.
Versiunile anterioare ale backdoor-ului nu necesita autentificare, dar cele mai noi folosesc o cheie predefinita.
Sansec a declarat pentru BleepingComputer ca acest backdoor a fost folosit pentru a incarca un webshell pe site-ul unuia dintre clientii lor.
Datorita capacității de a incărca și rula orice cod PHP, repercusiunile potentiale ale atacului includ furtul de date, injectarea de skimmer, crearea arbitrara de conturi de administrator și altele.
Sansec a contactat cei trei furnizori, avertizandu-i cu privire la backdoor-ul descoperit. Firma de securitate cibernetica spune ca MGS nu a raspuns, Tigren a negat o incalcare si continua sa distribuie extensii cu backdoor, iar Meetanshi a recunoscut o incalcare a serverului, dar nu si o compromitere a extensiei.
BleepingComputer a confirmat independent ca acest backdoor este prezent in extensia MGS StoreLocator, care poate fi descarcata gratuit de pe site-ul lor. Nu am confirmat daca backdoor-ul este prezent in celelalte extensii raportate de Sansec.
Utilizatorii extensiilor mentionate sunt sfatuiti sa efectueze scanari complete ale serverului pentru indicatorii de compromis impartasiti de Sansec in raportul lor si, daca este posibil, sa restaureze site-ul dintr-o copie de siguranta curata.
Sansec a comentat asupra caracterului neobisnuit al backdoor-ului care a stat inactiv timp de sase ani si a fost activat doar acum si a promis sa ofere informatii suplimentare din investigatia lor in curs.
BleepingComputer a contactat cei trei furnizori, dar nu a primit inca un raspuns la acest moment.
Bazandu-se pe o analiza a 14M de actiuni malefice, descoperiti cele 10 tehnici MITRE ATT&CK din spatele a 93% dintre atacuri si cum sa va aparati impotriva lor.
Pachetele PyPI au fost prinse furtisag carduri de credit, token-uri Discord
Dependintele de cod AI-halucinate devin un nou risc pentru aprovizionarea lantului
Un atac recent de tip supply chain GitHub a fost trasat la un token SpotBugs scurs
Campania Infostealer compromite 10 pachete npm, vizeaza dezvoltatorii
Noul atac npm otraveste pachetele locale cu backdoor-uri
Leave a Reply