Una delle campagne malware più sofisticate e longeve degli ultimi anni è appena venuta alla luce. Il team di sicurezza di Sansec ha scoperto una backdoor nascosta per oltre sei anni all’interno di 21 estensioni di Magento, piattaforma e-commerce ampiamente utilizzata in tutto il mondo. Secondo i ricercatori, l’attivazione del codice malevolo è avvenuta solo recentemente, consentendo agli hacker di prendere pieno controllo dei server compromessi.
L’origine della minaccia: un attacco alla supply chain
L’attacco ha coinvolto diverse estensioni distribuite da nomi noti nella community Magento: Tigren, Meetanshi e MGS (Magesolution). Anche una versione dell’estensione Weltpixel GoogleTagManager è risultata infetta, sebbene non sia stato possibile determinare se la compromissione sia avvenuta lato fornitore o cliente finale.
La particolarità di questo attacco è che il malware era già presente nel codice dal 2019, ma è rimasto inattivo fino a maggio 2025. Un vero e proprio cavallo di Troia dormiente che, una volta attivato, ha permesso ai cybercriminali di distribuire web shell, rubare dati, creare account amministrativi e iniettare skimmer per la raccolta di carte di credito.
Come funziona la backdoor
La backdoor è stata rilevata nei file License.php o LicenseApi.php, normalmente utilizzati per la verifica delle licenze delle estensioni. Al loro interno, i ricercatori hanno trovato codice PHP offuscato che controllava parametri HTTP specifici (requestKey e dataSign). Se i valori corrispondevano a delle chiavi hardcoded, veniva attivato un meccanismo che permetteva l’esecuzione remota di codice PHP tramite include_once().
Le versioni più recenti della backdoor sono state migliorate con chiavi di autenticazione, rendendo l’accesso più sicuro per l’attaccante e meno rilevabile per gli strumenti di scansione automatica.
Fornitori sotto accusa
Sansec ha tentato di contattare i fornitori coinvolti:
-
MGS: nessuna risposta.
-
Tigren: ha negato la compromissione e ha continuato a distribuire le estensioni infette.
-
Meetanshi: ha ammesso una violazione dei server, ma ha negato la compromissione del codice delle estensioni.
Questa reticenza da parte dei vendor mette ulteriormente in luce la necessità di trasparenza e responsabilità nella supply chain del software.
Raccomandazioni per gli utenti Magento
Sansec raccomanda vivamente a tutti gli utenti che utilizzano estensioni dei fornitori citati di:
-
Eseguire una scansione completa del server per rilevare eventuali anomalie.
-
Controllare i file License.php e LicenseApi.php per codice sospetto.
-
Ripristinare da backup puliti, laddove possibile.
-
Monitorare le richieste HTTP in entrata per eventuali pattern sospetti legati ai parametri
requestKeyedataSign.
Una delle vittime: colpita una multinazionale da 40 miliardi di dollari
Secondo fonti vicine all’indagine, una delle vittime dell’attacco sarebbe una multinazionale con un fatturato di 40 miliardi di dollari. Questo conferma la portata globale e il potenziale impatto devastante di un attacco alla supply chain, anche se pianificato anni prima.
Questa scoperta rappresenta un campanello d’allarme per l’intero ecosistema Magento e per tutte le piattaforme che si affidano a estensioni di terze parti. Un attacco del genere dimostra quanto possa essere pericolosa una compromissione a monte, soprattutto se orchestrata con precisione chirurgica e con lunghi tempi di latenza.
Sansec continuerà a indagare sulla backdoor e promette ulteriori aggiornamenti. Nel frattempo, la lezione è chiara: la sicurezza della supply chain non è mai da sottovalutare.
