Перейти к основному содержанию
поиск
ЛЮБОПЫТСТВО

Бэкдор активен спустя шесть лет: атака на цепочку поставок скомпрометировала более 1000 сайтов электронной коммерции на базе Magento

Только что была обнаружена одна из самых сложных и продолжительных вредоносных кампаний за последние годы. Группа безопасности Сансек он обнаружил бэкдор, скрытый более шести лет в 21 расширении Magento, платформы электронной коммерции, широко используемой во всем мире. По словам исследователей, активация вредоносного кода произошла совсем недавно, что позволило хакерам захватить полный контроль над скомпрометированными серверами.

Источник угрозы: атака на цепочку поставок

В атаке было задействовано несколько расширений, распространяемых известными именами в сообществе Magento: Тигрен, Митанши и MGS (Magesolution). Также версия расширения Мировой пиксель GoogleTagManager был признан зараженным, хотя не удалось определить, произошел ли взлом на стороне поставщика или конечного потребителя.

Особенность этой атаки в том, что Вредоносное ПО уже присутствовало в коде с 2019 года., но оставался неактивным до мая 2025 года. Настоящий спящий троян, который после активации позволял киберпреступникам распространять веб-шеллы, красть данные, создавать административные учетные записи и внедрять скиммеры кредитных карт.


Как работает бэкдор

В файлах обнаружен бэкдор Лицензия.php или же ЛицензияApi.php, обычно используется для проверки лицензий на расширение. Внутри них исследователи обнаружили запутанный PHP-код который проверял определенные параметры HTTP (requestKey является dataSign). Если значения соответствовали жестко закодированным ключам, он активировался. механизм, позволяющий удаленно выполнять PHP-код через включить_один раз().

Последние версии бэкдора были улучшены с помощью Ключи аутентификации, что делает доступ более безопасным для злоумышленника и менее заметным для автоматических сканирующих инструментов.


Поставщики под обвинением

Sansec попытался связаться с поставщиками, имеющими отношение к делу:

  • МГС: нет ответа.

  • Тигр: отрицал факт взлома и продолжал распространять зараженные расширения.

  • Митанши: признали взлом сервера, но отрицали компрометацию кода расширений.

Эта сдержанность со стороны поставщиков еще раз подчеркивает необходимость Прозрачность и подотчетность в цепочке поставок программного обеспечения.


Рекомендации для пользователей Magento

Sansec настоятельно рекомендует всем пользователям, использующим расширения от указанных поставщиков:

  • Запустить полное сканирование сервера для обнаружения любых аномалий.

  • Проверьте файлы License.php и LicenseApi.php на предмет подозрительного кода.

  • Восстановление из чистых резервных копий, где это возможно.

  • Мониторинг HTTP-запросов входящий для любых подозрительных шаблонов, связанных с параметрами requestKey является dataSign.


Одна из жертв: пострадала транснациональная корпорация стоимостью 40 миллиардов долларов

По данным источников, близких к расследованию, Предполагается, что одной из жертв атаки является транснациональная корпорация с оборотом в 40 миллиардов долларов.. Это подтверждает глобальный масштаб и потенциально разрушительные последствия атаки на цепочку поставок, даже если она запланирована за несколько лет.

Это открытие представляет собой тревожный сигнал для всей экосистемы Magento и для всех платформ, использующих сторонние расширения. Такая атака демонстрирует, насколько опасной может быть компрометация вышестоящего уровня, особенно если она организована с хирургической точностью и длительным временем ожидания.

Сансек продолжит расследование уязвимости и обещает дальнейшие обновления. Между тем, урок ясен: Безопасность цепочки поставок никогда не следует недооценивать.

© 2022 Электронная торговля и веб-сайты DigiFe Феррара

Перейти к содержимому
OSZAR »