Специалисты по кибербезопасности компании Sansec раскрыли масштабную атаку на цепочку поставок, затронувшую экосистему Magento. Злоумышленники внедрили вредоносный код в 21 расширение платформы еще в 2019 году, но активировали его только в апреле 2025 года. В результате атаки было скомпрометировано от 500 до 1000 интернет-магазинов.
Механизм атаки и технические детали
Исследование показало, что злоумышленники внедрили PHP-бэкдор в файлы проверки лицензии (License.php или LicenseApi.php) расширений. Вредоносный код осуществлял проверку HTTP-запросов на наличие специфических параметров requestKey и dataSign, сверяя их с предустановленными ключами. При успешной валидации бэкдор открывал доступ к расширенным административным функциям, включая возможность загрузки и автоматического выполнения произвольного PHP-кода.
Затронутые производители и их реакция
Среди скомпрометированных оказались расширения от компаний Tigren, Meetanshi и MGS (Magesolution). Также обнаружена зараженная версия Weltpixel GoogleTagManager, хотя точный вектор компрометации установить не удалось. Реакция производителей на уведомления о проблеме оказалась неоднозначной: MGS проигнорировала обращения, Tigren отрицает факт взлома, а Meetanshi признала компрометацию серверов, но не самих расширений.
Последствия и потенциальные риски
Получив контроль над серверами через бэкдор, злоумышленники могли:
- Внедрять веб-скиммеры для кражи платежных данных
- Похищать конфиденциальную информацию
- Создавать несанкционированные административные учетные записи
- Загружать дополнительное вредоносное ПО
Для защиты от последствий атаки специалисты рекомендуют владельцам затронутых магазинов провести полное сканирование серверов на признаки компрометации и восстановить системы из проверенных резервных копий. Эксперты Sansec продолжают расследование инцидента, отмечая, что среди пострадавших находится крупная транснациональная корпорация с оборотом в 40 миллиардов долларов. Этот случай демонстрирует растущую сложность современных кибератак и важность тщательного аудита безопасности используемых расширений и компонентов.
