Компанія Sansec, що спеціалізується на кібербезпеці, виявила безпрецедентну атаку на ланцюжок поставок (supply chain attack) платформи Magento. Зловмисники впровадили шкідливий код у 21 розширення ще у 2019 році, проте активували його лише у квітні 2025 року. За оцінками експертів, внаслідок атаки було скомпрометовано від 500 до 1000 онлайн-магазинів.
Технічний аналіз механізму компрометації
Дослідження показало, що кіберзлочинці використовували витончений метод впровадження PHP-бекдору в файли перевірки ліцензії розширень (License.php або LicenseApi.php). Шкідливий код здійснював валідацію HTTP-запитів на наявність специфічних параметрів requestKey та dataSign, порівнюючи їх із заздалегідь встановленими ключами. При успішній автентифікації бекдор надавав зловмисникам розширені адміністративні привілеї, включаючи можливість виконання довільного PHP-коду.
Постраждалі виробники та їхня реакція на інцидент
Серед скомпрометованих розширень виявлено продукти відомих розробників: Tigren, Meetanshi та MGS (Magesolution). Особливу увагу привернув випадок із Weltpixel GoogleTagManager, хоча точний вектор атаки залишається нез’ясованим. Реакція виробників виявилась неоднорідною: MGS проігнорувала повідомлення про загрозу, Tigren заперечує факт компрометації, а Meetanshi підтвердила злом серверів, але заперечує ураження самих розширень.
Потенційні загрози та методи захисту
Отримавши несанкціонований доступ через бекдор, зловмисники могли:
- Впроваджувати скімери для викрадення платіжних даних клієнтів
- Здійснювати крадіжку конфіденційної інформації
- Створювати приховані адміністративні облікові записи
- Завантажувати додаткове шкідливе програмне забезпечення
Експерти з кібербезпеки наголошують на необхідності термінового аудиту всіх встановлених розширень Magento та рекомендують власникам постраждалих магазинів провести повне сканування серверів на наявність індикаторів компрометації. Особливу увагу слід приділити відновленню систем із перевірених резервних копій. Розслідування інциденту триває, причому серед постраждалих виявлено транснаціональну корпорацію з річним оборотом 40 мільярдів доларів. Цей випадок яскраво демонструє зростаючу складність сучасних кібератак та критичну важливість регулярного моніторингу безпеки компонентів електронної комерції.
