Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Backdoor nascosta per 6 anni: l’attacco alla supply chain che ha compromesso 1000 e-commerce

Redazione RHC : 27 Maggio 2025 07:11

Sansec ha scoperto un sofisticato attacco alla supply chain: nel 2019, 21 estensioni di Magento sono state infettate da una backdoor. “Diversi fornitori sono stati compromessi in un attacco coordinato alla supply chain e Sansec ha scoperto 21 istanze con la stessa backdoor”, hanno scritto i ricercatori. “È interessante notare che il malware è stato introdotto sei anni fa, ma è stato attivato solo questa settimana, e gli aggressori hanno ottenuto il pieno controllo dei server di e-commerce.”

Secondo l’azienda, le estensioni compromesse sono state rilasciate da Tigren, Meetanshi e MGS (Magesolution). Inoltre, gli esperti di Sansec hanno trovato una versione infetta dell’estensione Weltpixel GoogleTagManager, ma non sono stati in grado di confermare in quale fase si sia verificata la compromissione: dal lato del produttore o sul sito del cliente.

In tutti i casi, le estensioni contenevano una backdoor PHP aggiunta al file di verifica della licenza (License.php o LicenseApi.php). Il malware ha eseguito la convalida sulle richieste HTTP contenenti i parametri requestKey e dataSign, utilizzati per verificare le chiavi hardcoded nei file PHP.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Se il controllo andava a buon fine, la backdoor forniva l’accesso ad altre funzioni amministrative, tra cui una funzione che consentiva a un utente remoto di scaricare una nuova licenza e salvarla in un file.

Questo file è stato quindi attivato utilizzando la funzione PHP include_once(), che carica il file ed esegue automaticamente tutto il codice presente nel file di licenza caricato. Si noti che le versioni precedenti della backdoor non richiedevano l’autenticazione, mentre quelle nuove utilizzano una chiave codificata.

Secondo Sansec, la backdoor veniva utilizzato per scaricare web shell sui siti web delle aziende interessate. Dato che gli hacker potrebbero caricare ed eseguire qualsiasi codice PHP, le potenziali conseguenze di tali attacchi includono il furto di dati, lo skimmer web, la creazione di nuovi account amministratore e così via.

I rappresentanti di Sansec hanno tentato di contattare i fornitori delle estensioni hackerate sopra menzionati, avvisandoli della backdoor scoperta. Secondo gli esperti, MGS non ha risposto affatto alla richiesta; Tigren ha affermato che non c’era stato alcun hack e ha continuato a distribuire estensioni con backdoor; Meetanshi ha ammesso che il server è stato hackerato, ma non che le estensioni siano state compromesse.

Si consiglia agli utenti delle estensioni elencate di eseguire una scansione completa del server per individuare eventuali segni di compromissione e, se possibile, di ripristinare il sito da una copia di backup pulita.

Gli analisti di Sansec continuano a studiare la backdoor, rimasta inattiva per sei anni prima di essere attivata, e promettono di fornire ulteriori informazioni una volta completata l’indagine. Si dice che una delle vittime di questa campagna sia una “multinazionale da 40 miliardi di dollari”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Pornhub, Redtube e YouPorn si ritirano dalla Francia per colpa della legge sulla verifica dell’età

Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...

Gli hacktivisti filorussi di NoName057(16), rivendicano nuovi attacchi alle infrastrutture italiane

Gli hacker di NoName057(16) riavviano le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS). NoName057(16) &#x...

Chrome sotto attacco! Scoperta una pericolosa vulnerabilità zero-day attivamente sfruttata

Google ha pubblicato un aggiornamento di sicurezza urgente per il browser Chrome, a seguito della conferma che una pericolosa vulnerabilità zero-day è attualmente oggetto di attacchi attivi ...

Quando gli hacker entrano dalla porta di servizio! PuTTY e SSH abusati per accedere alle reti

Una campagna malware altamente sofisticata sta prendendo di mira client SSH legittimi, tra cui la nota applicazione PuTTY e l’implementazione OpenSSH integrata nei sistemi Windows, con l’...

RHC effettua una BlackView con NOVA ransomware: “Aspettatevi attacchi pericolosi”

Il giorno 10 Maggio 2025 il comune di Pisa ha subito un attacco Ransomware all’interno dei loro sistemi informatici. Il giorno dopo Nova ha rivendicato l’attacco ed il 21 dello stesso me...