Eine der raffiniertesten und am längsten laufenden Malware-Kampagnen der letzten Jahre ist gerade ans Licht gekommen. Das Sicherheitsteam von Sansec entdeckte er eine Hintertür über sechs Jahre lang verborgen innerhalb von 21 Erweiterungen von Magento, einer weltweit weit verbreiteten E-Commerce-Plattform. Nach Angaben der Forscher erfolgte die Aktivierung des Schadcodes erst vor kurzem, was Hackern ermöglichte, volle Kontrolle über kompromittierte Server.
Der Ursprung der Bedrohung: ein Angriff auf die Lieferkette
An dem Angriff waren mehrere Erweiterungen beteiligt, die von bekannten Namen in der Magento-Community verbreitet wurden: Tigren, Meetanshi und MGS (Magesolution). Auch eine Version der Erweiterung World Pixel GoogleTagManager Es wurde eine Infektion festgestellt, obwohl nicht festgestellt werden konnte, ob die Kompromittierung auf der Lieferanten- oder Endkundenseite erfolgte.
Die Besonderheit dieses Angriffs ist, dass Die Malware war bereits seit 2019 im Code vorhanden, blieb jedoch bis Mai 2025 inaktiv. Ein echter schlafender Trojaner, der es Cyberkriminellen nach der Aktivierung ermöglichte, Web-Shells zu verteilen, Daten zu stehlen, Administratorkonten zu erstellen und Kreditkarten-Skimming-Programme einzuschleusen.
So funktioniert die Hintertür
Hintertür in Dateien erkannt Lizenz.php oder LicenseApi.php, wird normalerweise zum Überprüfen von Erweiterungslizenzen verwendet. In ihnen fanden die Forscher verschleierter PHP-Code die bestimmte HTTP-Parameter überprüften (Anfrageschlüssel ist Datenzeichen). Wenn die Werte mit fest codierten Schlüsseln übereinstimmten, wurde es aktiviert ein Mechanismus, der die Remote-Ausführung von PHP-Code ermöglichte durch include_once().
Die neuesten Versionen der Backdoor wurden verbessert mit Authentifizierungsschlüssel, wodurch der Zugriff für Angreifer sicherer und für automatische Scan-Tools weniger erkennbar wird.
Lieferanten unter Vorwurf
Sansec hat versucht, mit den betroffenen Lieferanten Kontakt aufzunehmen:
-
MGS: keine Antwort.
-
Tiger: bestritt den Angriff und verteilte die infizierten Erweiterungen weiter.
-
Meetanshi: gab zu, dass es zu einem Servereinbruch gekommen sei, bestritt jedoch, den Code der Erweiterungen kompromittiert zu haben.
Diese Zurückhaltung der Anbieter unterstreicht die Notwendigkeit Transparenz und Verantwortlichkeit in der Software-Lieferkette.
Empfehlungen für Magento-Benutzer
Sansec empfiehlt allen Benutzern, die Erweiterungen der genannten Anbieter verwenden, dringend:
-
Führen Sie einen vollständigen Serverscan durch um etwaige Anomalien zu erkennen.
-
Überprüfen Sie die Dateien License.php und LicenseApi.php auf verdächtigen Code.
-
Wiederherstellen aus sauberen Backups, wo möglich.
-
Überwachen Sie HTTP-Anfragen eingehende für alle verdächtigen Muster im Zusammenhang mit den Parametern
AnfrageschlüsselistDatenzeichen.
Eines der Opfer: ein multinationaler Konzern im Wert von 40 Milliarden Dollar
Quellen aus dem Umfeld der Ermittlungen zufolge Eines der Opfer des Angriffs soll ein multinationaler Konzern mit einem Umsatz von 40 Milliarden Dollar sein. Dies bestätigt die globale Reichweite und die potenziell verheerenden Auswirkungen eines Angriffs auf die Lieferkette, selbst wenn er Jahre im Voraus geplant wird.
Diese Entdeckung stellt ein Weckruf für das gesamte Magento-Ökosystem und für alle Plattformen, die auf Erweiterungen von Drittanbietern angewiesen sind. Ein solcher Angriff zeigt, wie gefährlich eine Upstream-Kompromittierung sein kann, insbesondere wenn sie mit chirurgischer Präzision und langen Latenzzeiten orchestriert wird.
Sansec wird die Hintertür weiter untersuchen und verspricht weitere Updates. Inzwischen ist die Lektion klar: Die Sicherheit der Lieferkette sollte niemals unterschätzt werden.
