Redazione RHC : 27 Maggio 2025 07:11
Sansec ha scoperto un sofisticato attacco alla supply chain: nel 2019, 21 estensioni di Magento sono state infettate da una backdoor. “Diversi fornitori sono stati compromessi in un attacco coordinato alla supply chain e Sansec ha scoperto 21 istanze con la stessa backdoor”, hanno scritto i ricercatori. “È interessante notare che il malware è stato introdotto sei anni fa, ma è stato attivato solo questa settimana, e gli aggressori hanno ottenuto il pieno controllo dei server di e-commerce.”
Secondo l’azienda, le estensioni compromesse sono state rilasciate da Tigren, Meetanshi e MGS (Magesolution). Inoltre, gli esperti di Sansec hanno trovato una versione infetta dell’estensione Weltpixel GoogleTagManager, ma non sono stati in grado di confermare in quale fase si sia verificata la compromissione: dal lato del produttore o sul sito del cliente.
In tutti i casi, le estensioni contenevano una backdoor PHP aggiunta al file di verifica della licenza (License.php o LicenseApi.php). Il malware ha eseguito la convalida sulle richieste HTTP contenenti i parametri requestKey e dataSign, utilizzati per verificare le chiavi hardcoded nei file PHP.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Se il controllo andava a buon fine, la backdoor forniva l’accesso ad altre funzioni amministrative, tra cui una funzione che consentiva a un utente remoto di scaricare una nuova licenza e salvarla in un file.
Questo file è stato quindi attivato utilizzando la funzione PHP include_once(), che carica il file ed esegue automaticamente tutto il codice presente nel file di licenza caricato. Si noti che le versioni precedenti della backdoor non richiedevano l’autenticazione, mentre quelle nuove utilizzano una chiave codificata.
Secondo Sansec, la backdoor veniva utilizzato per scaricare web shell sui siti web delle aziende interessate. Dato che gli hacker potrebbero caricare ed eseguire qualsiasi codice PHP, le potenziali conseguenze di tali attacchi includono il furto di dati, lo skimmer web, la creazione di nuovi account amministratore e così via.
I rappresentanti di Sansec hanno tentato di contattare i fornitori delle estensioni hackerate sopra menzionati, avvisandoli della backdoor scoperta. Secondo gli esperti, MGS non ha risposto affatto alla richiesta; Tigren ha affermato che non c’era stato alcun hack e ha continuato a distribuire estensioni con backdoor; Meetanshi ha ammesso che il server è stato hackerato, ma non che le estensioni siano state compromesse.
Si consiglia agli utenti delle estensioni elencate di eseguire una scansione completa del server per individuare eventuali segni di compromissione e, se possibile, di ripristinare il sito da una copia di backup pulita.
Gli analisti di Sansec continuano a studiare la backdoor, rimasta inattiva per sei anni prima di essere attivata, e promettono di fornire ulteriori informazioni una volta completata l’indagine. Si dice che una delle vittime di questa campagna sia una “multinazionale da 40 miliardi di dollari”.
RedazioneA cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
Negli ultimi mesi mi sono trovato più volte a redigere querele per video falsi che circolavano online. Non parliamo soltanto di contenuti rubati e diffusi senza consenso, ma anche di deepfake: filmat...
