Komoly supply chain támadás sújtja a Magento áruházakat – több száz webáruház kompromittálódott

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe

A Sansec biztonsági kutatói felfedezték, hogy 21 különböző Magento bővítmény tartalmaz egy közös, hátsó kaput (backdoor). A bővítmények közül több már 2019-ben tartalmazta a kártékony kódot, de az csak 2025 áprilisában aktiválódott.

„Több fejlesztőt is kompromittáltak egy összehangolt supply chain támadás során” – közölte a Sansec.
„A malware hat évvel ezelőtt került be az alkalmazásokba, és most, 2025-ben aktiválódott, amikor a támadók átvették az irányítást az érintett szerverek felett.”

A támadás következtében 500 és 1000 közötti webáruház kompromittálódhatott – köztük egy olyan cégé is, amely 40 milliárd dolláros forgalmat bonyolít évente.

Az érintett bővítmények az alábbi fejlesztőktől származnak:

Tigren:

  • Ajaxsuite
  • Ajaxcart
  • Ajaxlogin
  • Ajaxcompare
  • Ajaxwishlist
  • MultiCOD

Meetanshi:

  • ImageClean
  • CookieNotice
  • Flatshipping
  • FacebookChat
  • CurrencySwitcher
  • DeferJS

MGS:

  • Lookbook
  • StoreLocator
  • Brand
  • GDPR
  • Portfolio
  • Popup
  • DeliveryTime
  • ProductTabs
  • Blog

Ezen kívül a Weltpixel GoogleTagManager bővítményben is találtak kompromittált verziót, bár nem egyértelmű, hogy a sérülékenység a fejlesztő vagy a végfelhasználó oldalán keletkezett.

Hogyan működik a hátsó kapu?

A hátsó kaput a bővítmények License.php vagy LicenseApi.php fájljaiba rejtették el. A fertőzött kód az HTTP kérésekben keres két paramétert:

  • requestKey
  • dataSign

Ezeket a program hardkódolt kulcsokkal hasonlítja össze. Ha az ellenőrzés sikeres, akkor a rendszer lehetővé teszi, hogy távoli admin funkciók fussanak le – például egy új „licenc” fájl feltöltése, amelyet később a rendszer automatikusan lefuttat (include_once()).

Ez a mechanizmus lehetővé teszi, hogy a támadó tetszőleges PHP kódot futtasson a kompromittált szerveren. A potenciális következmények közé tartozik:

  • adatszivárgás,
  • skimmer kód injektálása (pl. hitelkártyaadatok lopása),
  • új adminisztrátori fiók létrehozása,
  • más rosszindulatú kódok telepítése.

Fejlesztői válaszok és a felelősség kérdése

A Sansec felvette a kapcsolatot a három fejlesztőcéggel:

  • MGS: nem reagált a megkeresésre.
  • Tigren: tagadja a kompromittálódást, és továbbra is terjeszti a fertőzött bővítményeket.
  • Meetanshi: elismerte, hogy volt szerverükön betörés, de tagadta, hogy a bővítményeik fertőzöttek lennének.

A BleepingComputer a fentiektől függetlenül megerősítette, hogy az MGS StoreLocator nevű ingyenes bővítmény valóban tartalmazza a hátsó kaput, és jelenleg is letölthető a fejlesztő weboldaláról.

Mit tehetnek az érintettek?

Azok az áruházüzemeltetők, akik a fent említett bővítmények bármelyikét használják vagy használták, haladéktalanul tegyék meg a következő lépéseket:

  • Teljes szerverellenőrzés, a Sansec által megosztott indikátorok alapján.
  • Azonnali frissítés vagy eltávolítás a fertőzött bővítményekből.
  • Rendszer visszaállítása olyan biztonságos mentésből, amely a fertőzés előtti állapotot tartalmazza.
  • Admin fiókok és fájlok ellenőrzése bármilyen gyanús tevékenység vagy jogosulatlan hozzáférés jelei után.

Ritka és különös eset

A támadás különlegessége, hogy a hátsó kapu hat évig rejtve maradt, és csak most aktiválódott. Ez példaértékű arra, hogy a supply chain (ellátási lánc) támadások hosszú távon is fenyegetést jelenthetnek – különösen nyílt forráskódú vagy kis fejlesztői háttérrel rendelkező bővítmények esetén.

A Sansec további technikai részletek közzétételét ígérte, amint az elemzésük előrehalad.