I ricercatori di Sansec hanno scoperto che centinaia di siti di e-commerce utilizzano estensioni infette per Magento. Quando i visitatori aprono il sito vengono infettati da una backdoor che ruba dati dal browser, in particolare quelli di pagamento. Il malware è rimasto dormiente per circa sei anni e si è attivato nel mese di aprile.
Attacco supply chain coordinato
In base all’analisi di Sansec, i siti compromessi sono tra 500 e 1.000, uno dei quali appartiene ad un multinazionale da 40 miliardi di dollari (non è noto il nome). Attraverso un attacco supply chain coordinato, ignoti cybercriminali sono riusciti ad accedere ai server di tre provider (Tigren, Meetanshi e MGS) e iniettare una backdoor nelle rispettive estensioni per Magento (21 in totale).
Queste estensioni sono state scaricate e installate dai clienti dei tre provider, consentendo ai cybercriminali di prendere il completo controllo dei siti di e-commerce e quindi di accedere ai browser degli ignari visitatori. La backdoor permette di caricare ed eseguire codice PHP arbitrario. In tutti i casi esaminati dai ricercatori di Sansec è stato iniettato uno skimming che intercetta le informazioni di pagamento (Magecart).
I cybercriminali possono rubare altri dati dal browser e creare account con privilegi di amministratore in Magento. MGS non ha risposto alla richiesta di informazioni, mentre Tigren ha negato l’intrusione. Le loro estensioni infette possono essere ancora scaricate. Meetanshi ha invece confermato l’accesso al server, dichiarando però che le estensioni non sono state compromesse. Sansec proseguirà l’indagine e pubblicherà altri aggiornamenti.
Ti potrebbe interessare
9 mag 2025