Redazione RHC : 27 Maggio 2025 07:11
Sansec ha scoperto un sofisticato attacco alla supply chain: nel 2019, 21 estensioni di Magento sono state infettate da una backdoor. “Diversi fornitori sono stati compromessi in un attacco coordinato alla supply chain e Sansec ha scoperto 21 istanze con la stessa backdoor”, hanno scritto i ricercatori. “È interessante notare che il malware è stato introdotto sei anni fa, ma è stato attivato solo questa settimana, e gli aggressori hanno ottenuto il pieno controllo dei server di e-commerce.”
Secondo l’azienda, le estensioni compromesse sono state rilasciate da Tigren, Meetanshi e MGS (Magesolution). Inoltre, gli esperti di Sansec hanno trovato una versione infetta dell’estensione Weltpixel GoogleTagManager, ma non sono stati in grado di confermare in quale fase si sia verificata la compromissione: dal lato del produttore o sul sito del cliente.
In tutti i casi, le estensioni contenevano una backdoor PHP aggiunta al file di verifica della licenza (License.php o LicenseApi.php). Il malware ha eseguito la convalida sulle richieste HTTP contenenti i parametri requestKey e dataSign, utilizzati per verificare le chiavi hardcoded nei file PHP.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Se il controllo andava a buon fine, la backdoor forniva l’accesso ad altre funzioni amministrative, tra cui una funzione che consentiva a un utente remoto di scaricare una nuova licenza e salvarla in un file.
Questo file è stato quindi attivato utilizzando la funzione PHP include_once(), che carica il file ed esegue automaticamente tutto il codice presente nel file di licenza caricato. Si noti che le versioni precedenti della backdoor non richiedevano l’autenticazione, mentre quelle nuove utilizzano una chiave codificata.
Secondo Sansec, la backdoor veniva utilizzato per scaricare web shell sui siti web delle aziende interessate. Dato che gli hacker potrebbero caricare ed eseguire qualsiasi codice PHP, le potenziali conseguenze di tali attacchi includono il furto di dati, lo skimmer web, la creazione di nuovi account amministratore e così via.
I rappresentanti di Sansec hanno tentato di contattare i fornitori delle estensioni hackerate sopra menzionati, avvisandoli della backdoor scoperta. Secondo gli esperti, MGS non ha risposto affatto alla richiesta; Tigren ha affermato che non c’era stato alcun hack e ha continuato a distribuire estensioni con backdoor; Meetanshi ha ammesso che il server è stato hackerato, ma non che le estensioni siano state compromesse.
Si consiglia agli utenti delle estensioni elencate di eseguire una scansione completa del server per individuare eventuali segni di compromissione e, se possibile, di ripristinare il sito da una copia di backup pulita.
Gli analisti di Sansec continuano a studiare la backdoor, rimasta inattiva per sei anni prima di essere attivata, e promettono di fornire ulteriori informazioni una volta completata l’indagine. Si dice che una delle vittime di questa campagna sia una “multinazionale da 40 miliardi di dollari”.
Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...
Gli hacker di NoName057(16) riavviano le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS). NoName057(16) &#x...
Google ha pubblicato un aggiornamento di sicurezza urgente per il browser Chrome, a seguito della conferma che una pericolosa vulnerabilità zero-day è attualmente oggetto di attacchi attivi ...
Una campagna malware altamente sofisticata sta prendendo di mira client SSH legittimi, tra cui la nota applicazione PuTTY e l’implementazione OpenSSH integrata nei sistemi Windows, con l’...
Il giorno 10 Maggio 2025 il comune di Pisa ha subito un attacco Ransomware all’interno dei loro sistemi informatici. Il giorno dopo Nova ha rivendicato l’attacco ed il 21 dello stesso me...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006