Взлом кибернетической паники: как старые расширения Magento начали атаку
Сотни интернет-магазинов находятся под атакой после уязвимости в поставках Magento. Сотни сайтов электронной коммерции, включая по крайней мере одного крупного игрока, стали жертвами взлома после того, как отравленные расширения Magento проснулись от шестилетнего сна. Исследователи кибербезопасности из Sansec обнаружили атаку на цепочку поставок, после того как один из их клиентов стал мишенью, в конечном итоге найдя 21 расширение Magento с бэкдорами, принадлежащими трем компаниям: Tigren, Meetanshi и MSG. Вот их названия: Tigren Ajaxsuite, Tigren Ajaxcart, Tigren Ajaxlogin, Tigren Ajaxcompare, Tigren Ajaxwishlist, Tigren MultiCOD, Meetanshi ImageClean, Meetanshi CookieNotice, Meetanshi Flatshipping, Meetanshi FacebookChat, Meetanshi CurrencySwitcher, Meetanshi DeferJS, MGS Lookbook, MGS StoreLocator, MGS Brand, MGS GDPR, MGS Portfolio, MGS Popup, MGS DeliveryTime, MGS ProductTabs, MGS Blog. Компания Sansec утверждает, что некоторые расширения были с бэкдорами еще в 2019 году. По данным CyberInsider, эти расширения распространялись через официальные серверы загрузки поставщиков, которые «были взломаны в какой-то момент». Тем не менее, злоумышленники активировали вредоносный код только в апреле 2025 года. За это время сотни интернет-магазинов установили их, что привело к компрометации примерно 500-1000 сайтов, включая один, принадлежащий транснациональной корпорации стоимостью 40 миллиардов долларов. Sansec сообщает, что злоумышленники добавили PHP-бэкдор в файл проверки лицензии всех расширений, что позволило им удаленно выполнять произвольный PHP-код. Это дало им контроль над затронутыми магазинами, скомпрометировав чувствительные данные клиентов и финансовые транзакции. Исследователи связались с тремя поставщиками с их выводами, но получили смешанные ответы. Tigren отрицала нарушение, и утверждается, что по-прежнему предоставляет расширения с бэкдорами, в то время как Meetanshi подтвердила, что была взломана, но отказалась признавать компрометацию расширений. Наконец, MGS даже не ответила на запросы Sansec, хотя BleepingComputer подтвердила наличие бэкдора как минимум в одном расширении, которое в настоящее время предлагается бесплатно на сайте компании. Если вы управляете магазином Magento с любыми из вышеупомянутых расширений, вам следует немедленно действовать и защитить свои активы.
В мире интернет-коммерции разразилась настоящая кибердрама — «сотни интернет-магазинов под атакой» зазвучало как слоган нового триллера. И как же удобно, что причиной паники стали разнузданные расширения Magento, которые проснулись после шести лет бездействия. Очевидно, технические разработчики решили, что раз уж они не могут создать что-то новое, почему бы не вернуться к старым "друзьям"?
Исследователи из Sansec обнаружили коварный след некоего "злодея", изрядно потирающего руки в тени. Но подождите, кто именно интересуется ловлей киберпреступников? Хорошо, что такие компании, как Tigren, Meetanshi и MGS, чья продукция со шпионскими бэкдорами пылится на магазинах, видимо, были погружены в собственные дела. Теперь выясняется, что клиент, ставший жертвой взлома, учит их урокам кибербезопасности.
При этом сами компании отстаивают свои честь и достоинство. Tigren уверяет: Это не мы, это оболочка за окном виновата. Meetanshi, похоже, вообще не слышит о существовании своих собственных уязвимостей. А MGS не удосужилась даже ответить на запросы — всё равно не прихоть ли это научного сообщества? Похоже, они заняты более важными делами, возможно, новым римейком «Шерлока Холмса»?
Что касается хакеров, то здесь картина предельно ясна. Подрубаемые без зазрения совести расширения, будто ни о чём не подозревают, ждут лишь момента, чтобы раскрыть свои истинные намерения. 1743 скомпрометированных интернет-магазина — шикарная вакансия для кого-то из комического мира киберпреступности!
Расширения с бэкдорами, предполагается, были скачаны через «официальные серверы». Всё из той же серии: “Купили пирог с вишней у бабушки, а потом обнаружили, что это вовсе оказался кибер-десерт с анонимными вирусами”!
Сложно не усомниться в целесообразности использования таких расширений, когда оказалось, что все они помнят свою единственную любовь — бэкдоры. И, как распорядились их владельцы, важно лишь спешить: «Необходимо действовать немедленно и спасать свои активы!» Но вот прямые упрёки не помогут. Зато позволит держать своих клиентов в чудесной неопределённости!
Вот такая вот "иностранная история". Очередной урок российскому бизнесу: не всё, что блестит, — чистое золото. По-моему, лучше довериться проверенным лазейкам, чем откровенным шпионским уловкам.