Investigadores de Sansec han descubierto un sofisticado ataque a la cadena de suministro que ha comprometido la seguridad de entre 500 y 1000 tiendas online que utilizan la plataforma Magento. El ataque, que permaneció dormante desde 2019 hasta su activación en abril de 2025, afectó a 21 extensiones populares de la plataforma, revelando una nueva dimensión en las amenazas dirigidas al comercio electrónico.
Análisis Técnico del Vector de Ataque
Los atacantes implementaron un backdoor PHP altamente sofisticado dentro de los archivos de verificación de licencia (License.php y LicenseApi.php) de las extensiones afectadas. El código malicioso fue diseñado para interceptar solicitudes HTTP específicas, validando parámetros requestKey y dataSign contra claves predefinidas, permitiendo así la ejecución remota de código PHP arbitrario y el acceso a funciones administrativas privilegiadas.
Impacto en el Ecosistema de Magento
Entre los desarrolladores de extensiones afectados se encuentran nombres reconocidos como Tigren, Meetanshi y MGS. Un caso particular involucra a la extensión Weltpixel GoogleTagManager, aunque el vector exacto de compromiso permanece bajo investigación. La respuesta de los proveedores ha sido variada, desde la negación completa hasta el reconocimiento parcial de la brecha, evidenciando la complejidad en la gestión de incidentes de seguridad.
Capacidades del Malware y Riesgos Asociados
El backdoor implementado otorgaba a los atacantes capacidades significativas, incluyendo:
- Implementación de skimmers para el robo de datos de pago
- Extracción de información confidencial
- Creación de cuentas administrativas no autorizadas
- Distribución de malware adicional
Este incidente, que ha afectado incluso a una corporación multinacional con ingresos de 40 mil millones de dólares, subraya la importancia crítica de implementar procesos rigurosos de verificación de seguridad en componentes de terceros. Los expertos recomiendan a los administradores de sitios afectados realizar auditorías exhaustivas de seguridad, implementar sistemas de monitorización continua y restaurar sus sistemas desde copias de seguridad verificadas. Este ataque demuestra la evolución constante de las amenazas cibernéticas y la necesidad de mantener una postura de seguridad proactiva en el ecosistema del comercio electrónico.
