Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Backdoor nascosta per 6 anni: l’attacco alla supply chain che ha compromesso 1000 e-commerce

Redazione RHC : 27 Maggio 2025 07:11

Sansec ha scoperto un sofisticato attacco alla supply chain: nel 2019, 21 estensioni di Magento sono state infettate da una backdoor. “Diversi fornitori sono stati compromessi in un attacco coordinato alla supply chain e Sansec ha scoperto 21 istanze con la stessa backdoor”, hanno scritto i ricercatori. “È interessante notare che il malware è stato introdotto sei anni fa, ma è stato attivato solo questa settimana, e gli aggressori hanno ottenuto il pieno controllo dei server di e-commerce.”

Secondo l’azienda, le estensioni compromesse sono state rilasciate da Tigren, Meetanshi e MGS (Magesolution). Inoltre, gli esperti di Sansec hanno trovato una versione infetta dell’estensione Weltpixel GoogleTagManager, ma non sono stati in grado di confermare in quale fase si sia verificata la compromissione: dal lato del produttore o sul sito del cliente.

In tutti i casi, le estensioni contenevano una backdoor PHP aggiunta al file di verifica della licenza (License.php o LicenseApi.php). Il malware ha eseguito la convalida sulle richieste HTTP contenenti i parametri requestKey e dataSign, utilizzati per verificare le chiavi hardcoded nei file PHP.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Se il controllo andava a buon fine, la backdoor forniva l’accesso ad altre funzioni amministrative, tra cui una funzione che consentiva a un utente remoto di scaricare una nuova licenza e salvarla in un file.

Questo file è stato quindi attivato utilizzando la funzione PHP include_once(), che carica il file ed esegue automaticamente tutto il codice presente nel file di licenza caricato. Si noti che le versioni precedenti della backdoor non richiedevano l’autenticazione, mentre quelle nuove utilizzano una chiave codificata.

Secondo Sansec, la backdoor veniva utilizzato per scaricare web shell sui siti web delle aziende interessate. Dato che gli hacker potrebbero caricare ed eseguire qualsiasi codice PHP, le potenziali conseguenze di tali attacchi includono il furto di dati, lo skimmer web, la creazione di nuovi account amministratore e così via.

I rappresentanti di Sansec hanno tentato di contattare i fornitori delle estensioni hackerate sopra menzionati, avvisandoli della backdoor scoperta. Secondo gli esperti, MGS non ha risposto affatto alla richiesta; Tigren ha affermato che non c’era stato alcun hack e ha continuato a distribuire estensioni con backdoor; Meetanshi ha ammesso che il server è stato hackerato, ma non che le estensioni siano state compromesse.

Si consiglia agli utenti delle estensioni elencate di eseguire una scansione completa del server per individuare eventuali segni di compromissione e, se possibile, di ripristinare il sito da una copia di backup pulita.

Gli analisti di Sansec continuano a studiare la backdoor, rimasta inattiva per sei anni prima di essere attivata, e promettono di fornire ulteriori informazioni una volta completata l’indagine. Si dice che una delle vittime di questa campagna sia una “multinazionale da 40 miliardi di dollari”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Che cos’è il vibe coding? Scopriamo la nuova frontiera della Programmazione
Di Diego Corbi - 31/07/2025

“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...

Nokia sotto attacco: su DarkForums spunta in vendita il database di quasi 100.000 dipendenti
Di Redazione RHC - 31/07/2025

Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...

CAF, phishing e telefonate: il nuovo “modello unico” del Crimine Informatico. Fate Attenzione!
Di Redazione RHC - 30/07/2025

Negli ultimi giorni, diversi Centri di Assistenza Fiscale (CAF) italiani — tra cui CAF CIA, CAF UIL e CAF CISL — stanno segnalando un’ondata di messaggi SMS sospetti inviati diret...

Open Source nel mirino: Aumentano gli attacchi ai repositori dei pacchetti online
Di Redazione RHC - 30/07/2025

Nelle ultime settimane, diversi sviluppatori open source sono stati colpiti da attacchi di phishing, che hanno infettato con malware i pacchetti, alcuni dei quali vengono scaricati 30 milioni di volte...

World Leaks rivendica un Attacco informatico ad ACEA. Aggiornamenti tra 21 ore
Di Redazione RHC - 29/07/2025

Un attacco informatico ai danni di ACEA SpA, colosso italiano attivo nella produzione e distribuzione di elettricità, gas e servizi idrici, è stato rivendicato dai criminali informatici di W...