Um ataque à cadeia de suprimentos envolvendo 21 extensões do Magento com backdoors comprometeu entre 500 e 1.000 lojas de comércio eletrônico, incluindo uma que pertence a uma multinacional de 40 bilhões de dólares.
Pesquisadores da Sansec, que descobriram o ataque, relatam que algumas extensões foram comprometidas com backdoors desde 2019, mas o código malicioso só foi ativado em abril de 2025.
"Diversos fornecedores foram hackeados em um ataque coordenado à cadeia de suprimentos; a Sansec encontrou 21 aplicativos com o mesmo backdoor", explica a Sansec.
"Curiosamente, o malware foi injetado há 6 anos, mas reviveu esta semana, quando os atacantes assumiram o controle total dos servidores de e-commerce."
A Sansec diz que as extensões comprometidas são dos fornecedores Tigren, Meetanshi e MGS:
Tigren Ajaxsuite
Tigren Ajaxcart
Tigren Ajaxlogin
Tigren Ajaxcompare
Tigren Ajaxwishlist
Tigren MultiCOD
Meetanshi ImageClean
Meetanshi CookieNotice
Meetanshi Flatshipping
Meetanshi FacebookChat
Meetanshi CurrencySwitcher
Meetanshi DeferJS
MGS Lookbook
MGS StoreLocator
MGS Brand
MGS GDPR
MGS Portfolio
MGS Popup
MGS DeliveryTime
MGS ProductTabs
MGS Blog
A Sansec também encontrou uma versão comprometida da extensão Weltpixel GoogleTagManager, mas não pôde confirmar se o ponto de comprometimento estava no fornecedor ou no site.
Em todos os casos observados, as extensões incluem um backdoor PHP adicionado a um arquivo de verificação de licença (License.php ou LicenseApi.php) usado pela extensão.
Esse código malicioso verifica as solicitações HTTP contendo parâmetros especiais chamados "requestKey" e "dataSign", que são usados para realizar uma verificação contra chaves codificadas dentro dos arquivos PHP.
Se a verificação for bem-sucedida, o backdoor permite acesso a outras funções administrativas no arquivo, incluindo uma que permite a um usuário remoto fazer o upload de uma nova licença e salvá-la como um arquivo.
Este arquivo é então incluído usando a função PHP "include_once()", que carrega o arquivo e executa automaticamente qualquer código dentro do arquivo de licença carregado.
Versões anteriores do backdoor não exigiam autenticação, mas as mais recentes usam uma chave codificada.
A Sansec informou que este backdoor foi usado para fazer o upload de um webshell no site de um de seus clientes.
Dada a capacidade de fazer o upload e executar qualquer código PHP, as repercussões potenciais do ataque incluem furto de dados, injeção de skimmer, criação arbitrária de contas de administração e mais.
A Sansec entrou em contato com os três fornecedores, alertando-os sobre o backdoor descoberto.
A firma de cibersegurança diz que a MGS não respondeu, a Tigren negou uma violação e continua a distribuir extensões com backdoors, e a Meetanshi admitiu uma violação no servidor, mas não um comprometimento da extensão.
Recomenda-se aos usuários das extensões mencionadas que realizem varreduras completas no servidor para os indicadores de comprometimento compartilhados no relatório da Sansec e, se possível, restaurem o site a partir de um backup conhecido e limpo.
A Sansec comentou sobre a peculiaridade do backdoor permanecer inativo por seis anos e ativar-se apenas agora e prometeu fornecer insights adicionais de sua investigação em andamento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...