Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Backdoor nascosta per 6 anni: l’attacco alla supply chain che ha compromesso 1000 e-commerce

Redazione RHC : 27 Maggio 2025 07:11

Sansec ha scoperto un sofisticato attacco alla supply chain: nel 2019, 21 estensioni di Magento sono state infettate da una backdoor. “Diversi fornitori sono stati compromessi in un attacco coordinato alla supply chain e Sansec ha scoperto 21 istanze con la stessa backdoor”, hanno scritto i ricercatori. “È interessante notare che il malware è stato introdotto sei anni fa, ma è stato attivato solo questa settimana, e gli aggressori hanno ottenuto il pieno controllo dei server di e-commerce.”

Secondo l’azienda, le estensioni compromesse sono state rilasciate da Tigren, Meetanshi e MGS (Magesolution). Inoltre, gli esperti di Sansec hanno trovato una versione infetta dell’estensione Weltpixel GoogleTagManager, ma non sono stati in grado di confermare in quale fase si sia verificata la compromissione: dal lato del produttore o sul sito del cliente.

In tutti i casi, le estensioni contenevano una backdoor PHP aggiunta al file di verifica della licenza (License.php o LicenseApi.php). Il malware ha eseguito la convalida sulle richieste HTTP contenenti i parametri requestKey e dataSign, utilizzati per verificare le chiavi hardcoded nei file PHP.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. 
Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
 Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. 
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Se il controllo andava a buon fine, la backdoor forniva l’accesso ad altre funzioni amministrative, tra cui una funzione che consentiva a un utente remoto di scaricare una nuova licenza e salvarla in un file.

Questo file è stato quindi attivato utilizzando la funzione PHP include_once(), che carica il file ed esegue automaticamente tutto il codice presente nel file di licenza caricato. Si noti che le versioni precedenti della backdoor non richiedevano l’autenticazione, mentre quelle nuove utilizzano una chiave codificata.

Secondo Sansec, la backdoor veniva utilizzato per scaricare web shell sui siti web delle aziende interessate. Dato che gli hacker potrebbero caricare ed eseguire qualsiasi codice PHP, le potenziali conseguenze di tali attacchi includono il furto di dati, lo skimmer web, la creazione di nuovi account amministratore e così via.

I rappresentanti di Sansec hanno tentato di contattare i fornitori delle estensioni hackerate sopra menzionati, avvisandoli della backdoor scoperta. Secondo gli esperti, MGS non ha risposto affatto alla richiesta; Tigren ha affermato che non c’era stato alcun hack e ha continuato a distribuire estensioni con backdoor; Meetanshi ha ammesso che il server è stato hackerato, ma non che le estensioni siano state compromesse.

Si consiglia agli utenti delle estensioni elencate di eseguire una scansione completa del server per individuare eventuali segni di compromissione e, se possibile, di ripristinare il sito da una copia di backup pulita.

Gli analisti di Sansec continuano a studiare la backdoor, rimasta inattiva per sei anni prima di essere attivata, e promettono di fornire ulteriori informazioni una volta completata l’indagine. Si dice che una delle vittime di questa campagna sia una “multinazionale da 40 miliardi di dollari”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’Italia nel mondo degli Zero Day c’è! Le prime CNA Italiane sono Leonardo e Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...

Apple nel mirino? Presunta rivendicazione di data breach da 9 GB su Darkforums
Di Inva Malaj - 05/10/2025

Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...