Allarme: Attacco alla Supply Chain Compromette Centinaia di E-commerce Magento

Una sofisticata campagna malware ha preso di mira siti di e-commerce basati sulla piattaforma Magento, sfruttando una backdoor nascosta per ben sei anni all'interno di 21 estensioni di terze parti. La società di sicurezza Sansec ha scoperto che il codice malevolo, inserito già nel 2019, è rimasto inattivo fino ad aprile 2025, consentendo agli attaccanti di prendere il controllo dei server compromessi.

La backdoor, presente nei file License.php o LicenseApi.php delle estensioni, permetteva l'esecuzione remota di codice PHP. Questo ha consentito ai criminali informatici di installare web shell, rubare dati, creare account amministrativi e iniettare skimmer per la raccolta di dati delle carte di credito direttamente nei browser dei clienti durante il processo di checkout. Tra i fornitori di estensioni compromesse figurano Tigren, Meetanshi e MGS. Sansec stima che tra 500 e 1000 negozi online siano stati colpiti, inclusa una multinazionale da 40 miliardi di dollari.

Sansec raccomanda vivamente a tutti gli utenti Magento che utilizzano estensioni provenienti dai fornitori citati di:

• Eseguire una scansione completa del server per rilevare eventuali anomalie.

• Controllare i file License.php e LicenseApi.php per codice sospetto.

• Ripristinare da backup puliti, laddove possibile.

• Monitorare le richieste HTTP in entrata per eventuali pattern sospetti legati ai parametri requestKey e dataSign.

Questo attacco sottolinea i rischi associati alla supply chain del software e l'importanza di mantenere aggiornati i sistemi e di utilizzare solo estensioni da fonti affidabili.