Un brutale attacco hacker ha compromesso migliaia di e-commerce
Oltre 500 e-commerce colpiti da un malware rimasto dormiente per sei anni. Attacco via estensioni Magento: rubati dati di pagamento ai clienti.
Una grave falla nella sicurezza ha colpito centinaia di siti e-commerce in tutto il mondo. Secondo quanto scoperto dai ricercatori di Sansec, azienda specializzata in cybersecurity, oltre 500 store online sono stati infettati da un malware che era stato silenziosamente inserito nel codice di alcune estensioni per Magento e che, dopo essere rimasto inattivo per sei anni, è tornato improvvisamente a colpire nelle ultime settimane.
Compromessa la supply chain
L’attacco ha origine da una compromissione della supply chain che ha coinvolto almeno tre fornitori di software – Tigren, Magesolution (MGS) e Meetanshi – i cui plugin, molto utilizzati per arricchire le funzionalità dei negozi online, contenevano una backdoor in grado di attivarsi a distanza. Una volta in esecuzione, il malware consente agli hacker di caricare ed eseguire codice arbitrario sui server infetti, aprendo così la strada all’inserimento di script che intercettano dati sensibili dei clienti, come numeri di carte di credito e informazioni personali.
Il metodo usato richiama da vicino le tecniche del gruppo Magecart, famigerato per i suoi attacchi a piattaforme di pagamento. In questo caso, però, a colpire è la sofisticazione dell’attacco: il codice dannoso è rimasto nascosto per sei anni, senza essere rilevato, prima di attivarsi e iniziare a colpire. Un dettaglio che ha sorpreso anche gli analisti, abituati a minacce ben più immediate.
Un attacco di proporzioni colossali
Tra le vittime ci sarebbe anche una multinazionale dal valore di 40 miliardi di dollari, anche se il nome dell’azienda non è stato divulgato. Sansec ha individuato 21 estensioni infette, tra cui plugin usati per carrelli Ajax, wishlist, notifiche sui cookie, switch di valuta, GDPR e funzioni pop-up. Alcuni dei fornitori coinvolti, come Tigren e MGS, continuerebbero a distribuire versioni compromesse dei loro software, mentre Meetanshi ha ammesso la violazione ma ha negato di aver diffuso codice alterato.
Il cuore tecnico dell’attacco si basa su una funzione chiamata adminLoadLicense, che sfrutta un file chiamato $licenseFile per iniettare codice PHP nel server. Se un utente malintenzionato invia una richiesta con una chiave segreta, ottiene accesso completo al sistema e può eseguire qualsiasi comando.
L’impatto è potenzialmente enorme: milioni di utenti potrebbero essere stati esposti a script che agiscono direttamente nel browser, intercettando ogni dato inserito nei moduli di pagamento. Sansec consiglia a tutti i gestori di siti basati su Magento di controllare attentamente le estensioni installate e cercare tracce della funzione sospetta $licenseFile.
