Investigadores de Sansec han descubierto un sofisticado ataque a la cadena de suministro que ha comprometido la seguridad de entre 500 y 1000 tiendas online que utilizan la plataforma Magento. El ataque, que permaneci贸 dormante desde 2019 hasta su activaci贸n en abril de 2025, afect贸 a 21 extensiones populares de la plataforma, revelando una nueva dimensi贸n en las amenazas dirigidas al comercio electr贸nico.
An谩lisis T茅cnico del Vector de Ataque
Los atacantes implementaron un backdoor PHP altamente sofisticado dentro de los archivos de verificaci贸n de licencia (License.php y LicenseApi.php) de las extensiones afectadas. El c贸digo malicioso fue dise帽ado para interceptar solicitudes HTTP espec铆ficas, validando par谩metros requestKey y dataSign contra claves predefinidas, permitiendo as铆 la ejecuci贸n remota de c贸digo PHP arbitrario y el acceso a funciones administrativas privilegiadas.
Impacto en el Ecosistema de Magento
Entre los desarrolladores de extensiones afectados se encuentran nombres reconocidos como Tigren, Meetanshi y MGS. Un caso particular involucra a la extensi贸n Weltpixel GoogleTagManager, aunque el vector exacto de compromiso permanece bajo investigaci贸n. La respuesta de los proveedores ha sido variada, desde la negaci贸n completa hasta el reconocimiento parcial de la brecha, evidenciando la complejidad en la gesti贸n de incidentes de seguridad.
Capacidades del Malware y Riesgos Asociados
El backdoor implementado otorgaba a los atacantes capacidades significativas, incluyendo:
- Implementaci贸n de skimmers para el robo de datos de pago
- Extracci贸n de informaci贸n confidencial
- Creaci贸n de cuentas administrativas no autorizadas
- Distribuci贸n de malware adicional
Este incidente, que ha afectado incluso a una corporaci贸n multinacional con ingresos de 40 mil millones de d贸lares, subraya la importancia cr铆tica de implementar procesos rigurosos de verificaci贸n de seguridad en componentes de terceros. Los expertos recomiendan a los administradores de sitios afectados realizar auditor铆as exhaustivas de seguridad, implementar sistemas de monitorizaci贸n continua y restaurar sus sistemas desde copias de seguridad verificadas. Este ataque demuestra la evoluci贸n constante de las amenazas cibern茅ticas y la necesidad de mantener una postura de seguridad proactiva en el ecosistema del comercio electr贸nico.
