
A Sansec biztonsági kutatói felfedezték, hogy 21 különböző Magento bővítmény tartalmaz egy közös, hátsó kaput (backdoor). A bővítmények közül több már 2019-ben tartalmazta a kártékony kódot, de az csak 2025 áprilisában aktiválódott.
„Több fejlesztőt is kompromittáltak egy összehangolt supply chain támadás során” – közölte a Sansec.
„A malware hat évvel ezelőtt került be az alkalmazásokba, és most, 2025-ben aktiválódott, amikor a támadók átvették az irányítást az érintett szerverek felett.”
A támadás következtében 500 és 1000 közötti webáruház kompromittálódhatott – köztük egy olyan cégé is, amely 40 milliárd dolláros forgalmat bonyolít évente.
Az érintett bővítmények az alábbi fejlesztőktől származnak:
Tigren:
- Ajaxsuite
- Ajaxcart
- Ajaxlogin
- Ajaxcompare
- Ajaxwishlist
- MultiCOD
Meetanshi:
- ImageClean
- CookieNotice
- Flatshipping
- FacebookChat
- CurrencySwitcher
- DeferJS
MGS:
- Lookbook
- StoreLocator
- Brand
- GDPR
- Portfolio
- Popup
- DeliveryTime
- ProductTabs
- Blog
Ezen kívül a Weltpixel GoogleTagManager bővítményben is találtak kompromittált verziót, bár nem egyértelmű, hogy a sérülékenység a fejlesztő vagy a végfelhasználó oldalán keletkezett.
Hogyan működik a hátsó kapu?
A hátsó kaput a bővítmények License.php vagy LicenseApi.php fájljaiba rejtették el. A fertőzött kód az HTTP kérésekben keres két paramétert:
- requestKey
- dataSign
Ezeket a program hardkódolt kulcsokkal hasonlítja össze. Ha az ellenőrzés sikeres, akkor a rendszer lehetővé teszi, hogy távoli admin funkciók fussanak le – például egy új „licenc” fájl feltöltése, amelyet később a rendszer automatikusan lefuttat (include_once()).
Ez a mechanizmus lehetővé teszi, hogy a támadó tetszőleges PHP kódot futtasson a kompromittált szerveren. A potenciális következmények közé tartozik:
- adatszivárgás,
- skimmer kód injektálása (pl. hitelkártyaadatok lopása),
- új adminisztrátori fiók létrehozása,
- más rosszindulatú kódok telepítése.
Fejlesztői válaszok és a felelősség kérdése
A Sansec felvette a kapcsolatot a három fejlesztőcéggel:
- MGS: nem reagált a megkeresésre.
- Tigren: tagadja a kompromittálódást, és továbbra is terjeszti a fertőzött bővítményeket.
- Meetanshi: elismerte, hogy volt szerverükön betörés, de tagadta, hogy a bővítményeik fertőzöttek lennének.
A BleepingComputer a fentiektől függetlenül megerősítette, hogy az MGS StoreLocator nevű ingyenes bővítmény valóban tartalmazza a hátsó kaput, és jelenleg is letölthető a fejlesztő weboldaláról.
Mit tehetnek az érintettek?
Azok az áruházüzemeltetők, akik a fent említett bővítmények bármelyikét használják vagy használták, haladéktalanul tegyék meg a következő lépéseket:
- Teljes szerverellenőrzés, a Sansec által megosztott indikátorok alapján.
- Azonnali frissítés vagy eltávolítás a fertőzött bővítményekből.
- Rendszer visszaállítása olyan biztonságos mentésből, amely a fertőzés előtti állapotot tartalmazza.
- Admin fiókok és fájlok ellenőrzése bármilyen gyanús tevékenység vagy jogosulatlan hozzáférés jelei után.
Ritka és különös eset
A támadás különlegessége, hogy a hátsó kapu hat évig rejtve maradt, és csak most aktiválódott. Ez példaértékű arra, hogy a supply chain (ellátási lánc) támadások hosszú távon is fenyegetést jelenthetnek – különösen nyílt forráskódú vagy kis fejlesztői háttérrel rendelkező bővítmények esetén.
A Sansec további technikai részletek közzétételét ígérte, amint az elemzésük előrehalad.
