{"id":34155,"date":"2025-05-28T05:46:04","date_gmt":"2025-05-28T05:46:04","guid":{"rendered":"https:\/\/www.digife.it\/?p=34155"},"modified":"2025-05-28T05:46:04","modified_gmt":"2025-05-28T05:46:04","slug":"hintertur-nach-sechs-jahren-aktiv-lieferkettenangriff-kompromittiert-uber-1-000-magento-basierte-e-commerce-websites","status":"publish","type":"post","link":"https:\/\/www.digife.it\/de\/hintertur-nach-sechs-jahren-aktiv-lieferkettenangriff-kompromittiert-uber-1-000-magento-basierte-e-commerce-websites\/","title":{"rendered":"Hintert\u00fcr nach sechs Jahren noch aktiv: Supply-Chain-Angriff gef\u00e4hrdet \u00fcber 1.000 Magento-basierte E-Commerce-Sites"},"content":{"rendered":"

Eine der raffiniertesten und am l\u00e4ngsten laufenden Malware-Kampagnen der letzten Jahre ist gerade ans Licht gekommen. Das Sicherheitsteam von Sansec<\/strong> entdeckte er eine Hintert\u00fcr \u00fcber sechs Jahre lang verborgen<\/strong> innerhalb von 21 Erweiterungen von Magento, einer weltweit weit verbreiteten E-Commerce-Plattform. Nach Angaben der Forscher erfolgte die Aktivierung des Schadcodes erst vor kurzem, was Hackern erm\u00f6glichte, volle Kontrolle \u00fcber kompromittierte Server<\/strong>.<\/p>\n

Der Ursprung der Bedrohung: ein Angriff auf die Lieferkette<\/strong><\/h3>\n

An dem Angriff waren mehrere Erweiterungen beteiligt, die von bekannten Namen in der Magento-Community verbreitet wurden: Tigren, Meetanshi und MGS (Magesolution)<\/strong>. Auch eine Version der Erweiterung World Pixel GoogleTagManager<\/strong> Es wurde eine Infektion festgestellt, obwohl nicht festgestellt werden konnte, ob die Kompromittierung auf der Lieferanten- oder Endkundenseite erfolgte.<\/p>\n

Die Besonderheit dieses Angriffs ist, dass Die Malware war bereits seit 2019 im Code vorhanden<\/strong>, blieb jedoch bis Mai 2025 inaktiv. Ein echter schlafender Trojaner, der es Cyberkriminellen nach der Aktivierung erm\u00f6glichte, Web-Shells zu verteilen, Daten zu stehlen, Administratorkonten zu erstellen und Kreditkarten-Skimming-Programme einzuschleusen.<\/p>\n

\n

So funktioniert die Hintert\u00fcr<\/strong><\/h3>\n

Hintert\u00fcr in Dateien erkannt Lizenz.php<\/code> oder LicenseApi.php<\/code>, wird normalerweise zum \u00dcberpr\u00fcfen von Erweiterungslizenzen verwendet. In ihnen fanden die Forscher verschleierter PHP-Code<\/strong> die bestimmte HTTP-Parameter \u00fcberpr\u00fcften (Anfrageschl\u00fcssel<\/code> ist Datenzeichen<\/code>). Wenn die Werte mit fest codierten Schl\u00fcsseln \u00fcbereinstimmten, wurde es aktiviert ein Mechanismus, der die Remote-Ausf\u00fchrung von PHP-Code erm\u00f6glichte<\/strong> durch include_once()<\/code>.<\/p>\n

Die neuesten Versionen der Backdoor wurden verbessert mit Authentifizierungsschl\u00fcssel<\/strong>, wodurch der Zugriff f\u00fcr Angreifer sicherer und f\u00fcr automatische Scan-Tools weniger erkennbar wird.<\/p>\n

\n

Lieferanten unter Vorwurf<\/strong><\/h3>\n

Sansec hat versucht, mit den betroffenen Lieferanten Kontakt aufzunehmen:<\/p>\n

    \n
  • \n

    MGS<\/strong>: keine Antwort.<\/p>\n<\/li>\n

  • \n

    Tiger<\/strong>: bestritt den Angriff und verteilte die infizierten Erweiterungen weiter.<\/p>\n<\/li>\n

  • \n

    Meetanshi<\/strong>: gab zu, dass es zu einem Servereinbruch gekommen sei, bestritt jedoch, den Code der Erweiterungen kompromittiert zu haben.<\/p>\n<\/li>\n<\/ul>\n

    Diese Zur\u00fcckhaltung der Anbieter unterstreicht die Notwendigkeit Transparenz und Verantwortlichkeit in der Software-Lieferkette<\/strong>.<\/p>\n

    \n

    Empfehlungen f\u00fcr Magento-Benutzer<\/strong><\/h3>\n

    Sansec empfiehlt allen Benutzern, die Erweiterungen der genannten Anbieter verwenden, dringend:<\/p>\n

      \n
    • \n

      F\u00fchren Sie einen vollst\u00e4ndigen Serverscan durch<\/strong> um etwaige Anomalien zu erkennen.<\/p>\n<\/li>\n

    • \n

      \u00dcberpr\u00fcfen Sie die Dateien License.php und LicenseApi.php<\/strong> auf verd\u00e4chtigen Code.<\/p>\n<\/li>\n

    • \n

      Wiederherstellen aus sauberen Backups<\/strong>, wo m\u00f6glich.<\/p>\n<\/li>\n

    • \n

      \u00dcberwachen Sie HTTP-Anfragen<\/strong> eingehende f\u00fcr alle verd\u00e4chtigen Muster im Zusammenhang mit den Parametern Anfrageschl\u00fcssel<\/code> ist Datenzeichen<\/code>.<\/p>\n<\/li>\n<\/ul>\n

      \n

      Eines der Opfer: ein multinationaler Konzern im Wert von 40 Milliarden Dollar<\/strong><\/h3>\n

      Quellen aus dem Umfeld der Ermittlungen zufolge Eines der Opfer des Angriffs soll ein multinationaler Konzern mit einem Umsatz von 40 Milliarden Dollar sein<\/strong>. Dies best\u00e4tigt die globale Reichweite und die potenziell verheerenden Auswirkungen eines Angriffs auf die Lieferkette, selbst wenn er Jahre im Voraus geplant wird.<\/p>\n

      Diese Entdeckung stellt ein Weckruf f\u00fcr das gesamte Magento-\u00d6kosystem und f\u00fcr alle Plattformen, die auf Erweiterungen von Drittanbietern angewiesen sind.<\/strong> Ein solcher Angriff zeigt, wie gef\u00e4hrlich eine Upstream-Kompromittierung sein kann, insbesondere wenn sie mit chirurgischer Pr\u00e4zision und langen Latenzzeiten orchestriert wird.<\/p>\n

      Sansec<\/strong> wird die Hintert\u00fcr weiter untersuchen und verspricht weitere Updates. Inzwischen ist die Lektion klar: Die Sicherheit der Lieferkette sollte niemals untersch\u00e4tzt werden<\/strong>.<\/p>","protected":false},"excerpt":{"rendered":"

      Eine der raffiniertesten und langwierigsten Malware-Kampagnen der letzten Jahre ist ans Licht gekommen. Das Sicherheitsteam von Sansec hat eine \u00fcber sechs Jahre lang versteckte Hintert\u00fcr entdeckt\u2026<\/p>","protected":false},"author":4,"featured_media":34156,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-34155","post","type-post","status-publish","format-standard","has-post-thumbnail","category-curiosita-web"],"_links":{"self":[{"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/posts\/34155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/comments?post=34155"}],"version-history":[{"count":0,"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/posts\/34155\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/media\/34156"}],"wp:attachment":[{"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/media?parent=34155"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/categories?post=34155"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.digife.it\/de\/wp-json\/wp\/v2\/tags?post=34155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}