<div id="post_message_789710">

Специалисты компании Sansec <a href="http://sansec.io/research/license-backdoor" target="_blank">обнаружили </a>сложную атаку на цепочку поставок: еще в 2019 году 21 расширение для Magento было заражено бэкдором. Эти «закладки» активировались только в апреле 2025 года, в результате чего взломаны оказались от 500 до 1000 онлайн-магазинов.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«В ходе скоординированной атаки на цепочку поставок были взломаны несколько поставщиков, и Sansec обнаружила 21 приложение с одинаковым бэкдором, — пишут исследователи. — Любопытно, что вредоносное ПО было внедрено еще шесть лет назад, но активировалось только на этой неделе, и злоумышленники получили полный контроль над ecommerce-серверами».</font>
</td>
</tr>
</table>
</div>По данным компании, скомпрометированные расширения были выпущены компаниями Tigren, Meetanshi и MGS (Magesolution). Кроме того, эксперты Sansec обнаружили зараженную версию расширения Weltpixel GoogleTagManager, но не смогли подтвердить, на каком этапе произошла компрометация — на стороне производителя или на сайте клиента.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/511451/backdoored.png"/><br/>
<br/>
Во всех случаях расширения содержали PHP-бэкдор, добавленный в файл проверки лицензии (License.php или LicenseApi.php). Этот вредоносный код выполнял проверку HTTP-запросов, содержащих параметры requestKey и dataSign, которые используются для проверки на соответствие жестко закодированным ключам в PHP-файлах.<br/>
<br/>
Если проверка оказывалась успешной, бэкдор предоставлял доступ к другим функциям администрирования, включая функцию, позволяющую удаленному пользователю загружать новую лицензию и сохранять ее в файл.<br/>
<br/>
Затем этот файл активировался с помощью PHP-функции include_once(), которая загружает файл и автоматически выполняет любой код в загруженном файле лицензии. Отмечается, что более ранние версии бэкдора не требовали аутентификации, а новые используют жестко закодированный ключ.<br/>
<br/>
По данным Sansec, этот бэкдор использовался для загрузки веб-шеллов на сайты пострадавших компаний. Учитывая, что хакеры могли загрузить и выполнить любой PHP-код, потенциальные последствия от таких атак включают кражу данных, внедрение веб-скиммеров, создание новых учетных записей администраторов и так далее.<br/>
<br/>
Представители Sansec попытались связаться с упомянутыми выше поставщиками взломанных расширений, предупредив их об обнаруженном бэкдоре. По словам специалистов, в компании MGS вообще не ответили на запрос; в Tigren заявили, что никакого взлома не было, и продолжили распространять зараженные бэкдором расширения; в Meetanshi признали факт взлома сервера, но не компрометацию расширений.<br/>
<br/>
Пользователям перечисленных расширений рекомендуется провести полное сканирование сервера на наличие признаков компрометации, а также, по возможности, выполнить восстановление сайта из заведомо чистой резервной копии.<br/>
<br/>
Аналитики Sansec продолжают изучать бэкдор, «спавший» шесть лет перед активацией, и обещают предоставить дополнительную информацию после завершения расследования. Утверждается, что одной из жертв этой кампании стала «40-миллиардная транснациональная корпорация».<br/>
<br/>
<a href="https://xakep.ru/2025/05/05/old-magento-backdoors/" target="_blank">@ xakep.ru</a>
</div>