Только что была обнаружена одна из самых сложных и продолжительных вредоносных кампаний за последние годы. Группа безопасности Сансек он обнаружил бэкдор, скрытый более шести лет в 21 расширении Magento, платформы электронной коммерции, широко используемой во всем мире. По словам исследователей, активация вредоносного кода произошла совсем недавно, что позволило хакерам захватить полный контроль над скомпрометированными серверами.
Источник угрозы: атака на цепочку поставок
В атаке было задействовано несколько расширений, распространяемых известными именами в сообществе Magento: Тигрен, Митанши и MGS (Magesolution). Также версия расширения Мировой пиксель GoogleTagManager был признан зараженным, хотя не удалось определить, произошел ли взлом на стороне поставщика или конечного потребителя.
Особенность этой атаки в том, что Вредоносное ПО уже присутствовало в коде с 2019 года., но оставался неактивным до мая 2025 года. Настоящий спящий троян, который после активации позволял киберпреступникам распространять веб-шеллы, красть данные, создавать административные учетные записи и внедрять скиммеры кредитных карт.
Как работает бэкдор
В файлах обнаружен бэкдор Лицензия.php или же ЛицензияApi.php, обычно используется для проверки лицензий на расширение. Внутри них исследователи обнаружили запутанный PHP-код который проверял определенные параметры HTTP (requestKey является dataSign). Если значения соответствовали жестко закодированным ключам, он активировался. механизм, позволяющий удаленно выполнять PHP-код через включить_один раз().
Последние версии бэкдора были улучшены с помощью Ключи аутентификации, что делает доступ более безопасным для злоумышленника и менее заметным для автоматических сканирующих инструментов.
Поставщики под обвинением
Sansec попытался связаться с поставщиками, имеющими отношение к делу:
-
МГС: нет ответа.
-
Тигр: отрицал факт взлома и продолжал распространять зараженные расширения.
-
Митанши: признали взлом сервера, но отрицали компрометацию кода расширений.
Эта сдержанность со стороны поставщиков еще раз подчеркивает необходимость Прозрачность и подотчетность в цепочке поставок программного обеспечения.
Рекомендации для пользователей Magento
Sansec настоятельно рекомендует всем пользователям, использующим расширения от указанных поставщиков:
-
Запустить полное сканирование сервера для обнаружения любых аномалий.
-
Проверьте файлы License.php и LicenseApi.php на предмет подозрительного кода.
-
Восстановление из чистых резервных копий, где это возможно.
-
Мониторинг HTTP-запросов входящий для любых подозрительных шаблонов, связанных с параметрами
requestKeyявляетсяdataSign.
Одна из жертв: пострадала транснациональная корпорация стоимостью 40 миллиардов долларов
По данным источников, близких к расследованию, Предполагается, что одной из жертв атаки является транснациональная корпорация с оборотом в 40 миллиардов долларов.. Это подтверждает глобальный масштаб и потенциально разрушительные последствия атаки на цепочку поставок, даже если она запланирована за несколько лет.
Это открытие представляет собой тревожный сигнал для всей экосистемы Magento и для всех платформ, использующих сторонние расширения. Такая атака демонстрирует, насколько опасной может быть компрометация вышестоящего уровня, особенно если она организована с хирургической точностью и длительным временем ожидания.
Сансек продолжит расследование уязвимости и обещает дальнейшие обновления. Между тем, урок ясен: Безопасность цепочки поставок никогда не следует недооценивать.
