Cybersicherheitsexperten von Sansec haben eine hochkomplexe Supply-Chain-Attacke auf das Magento-Ecosystem aufgedeckt. Die Angreifer infiltrierten bereits 2019 insgesamt 21 Magento-Extensions mit Schadcode, der erst im April 2025 aktiviert wurde. Nach aktuellen Erkenntnissen sind zwischen 500 und 1000 E-Commerce-Plattformen von diesem ausgeklügelten Angriff betroffen.
Technische Analyse der Angriffsmethode
Die forensische Untersuchung ergab, dass die Angreifer eine PHP-Backdoor gezielt in die Lizenzdateien (License.php oder LicenseApi.php) der betroffenen Extensions eingeschleust haben. Der implementierte Schadcode überprüfte eingehende HTTP-Requests auf spezifische Parameter – requestKey und dataSign – und verglich diese mit vordefinierten Schlüsseln. Bei erfolgreicher Validierung gewährte die Backdoor Zugriff auf erweiterte Administrative-Funktionen, einschließlich der Möglichkeit, beliebigen PHP-Code automatisch auszuführen.
Betroffene Hersteller und deren Reaktionen
Zu den kompromittierten Extensions gehören Produkte namhafter Anbieter wie Tigren, Meetanshi und MGS (Magesolution). Auch eine infizierte Version des Weltpixel GoogleTagManager wurde identifiziert, wobei der genaue Kompromittierungsvektor noch unklar ist. Die Reaktionen der Hersteller fallen unterschiedlich aus: Während MGS Benachrichtigungen ignorierte und Tigren eine Kompromittierung dementiert, bestätigte Meetanshi einen Servereinbruch, bestreitet jedoch eine Manipulation ihrer Extensions.
Sicherheitsrisiken und potenzielle Auswirkungen
Die implementierte Backdoor ermöglichte den Angreifern weitreichende Kontrolle über betroffene Systeme mit gravierenden potenziellen Konsequenzen:
- Installation von Skimming-Malware zur Erfassung von Zahlungsdaten
- Exfiltration sensibler Geschäftsinformationen
- Erstellung versteckter Admin-Zugänge
- Distribution zusätzlicher Malware
Diese hochentwickelte Supply-Chain-Attacke unterstreicht die wachsende Bedrohung durch kompromittierte Drittanbieter-Komponenten im E-Commerce-Sektor. Besonders besorgniserregend ist die Betroffenheit eines multinationalen Konzerns mit einem Jahresumsatz von 40 Milliarden Dollar. Betreiber von Magento-Shops sollten umgehend ihre Systeme auf Kompromittierung prüfen, verdächtige Extensions deaktivieren und ihre Infrastruktur aus verifizierten Backups wiederherstellen. Die Installation von Sicherheits-Patches und regelmäßige Security-Audits sind essentiell, um ähnliche Vorfälle künftig zu verhindern.
