Extensions Comprometidas en Tiendas Magento
Las tiendas en Magento han sido atacadas recientemente. Un nuevo tipo de malware se ha infiltrado a través de extensiones comprometidas. Investigadores han detectado múltiples extensiones infectadas en diversas tiendas online.
Investigación sobre Malware en Magento
El equipo de seguridad de Sansec ha identificado una campaña maliciosa. Esta campaña apunta específicamente a tiendas online. Los investigadores observaron que numerosas extensiones de Magento tienen una puerta trasera común.
Se encontraron 21 aplicaciones diferentes con el mismo problema. Esto sugiere que todas provienen de una fuente similar. Además, las extensiones no se infectaron recientemente. Según Sansec, la puerta trasera estuvo presente desde hace seis años.
Sin embargo, el malware permaneció inactivo hasta ahora. Este cambio repentino indica un ataque a la cadena de suministro. Algunas empresas se vieron comprometidas, lo que afectó a sus extensiones.
Lista de Extensiones Afectadas
Sansec publicó una lista completa de extensiones comprometidas. Estas pertenecen a tres proveedores: Tigren, Meetanshi y MGS. Las extensiones infectadas se detectaron entre 2019 y 2022.
Los atacantes lograron penetrar los servidores de los proveedores. Así, infectaron las extensiones con malware. Sin embargo, el malware permaneció inactivo durante años. Recientemente, activó su funcionamiento, atacando cientos de tiendas online.
Entre las víctimas se encuentra una multinacional valuada en $40 mil millones. Sansec no reveló el nombre de dicha empresa. Tras el descubrimiento, los investigadores contactaron a los proveedores afectados.
La respuesta de los proveedores fue insatisfactoria. MGS y Tigren no eliminaron las extensiones infectadas. MGS no respondió, mientras que Tigren negó cualquier ataque. Por su parte, Meetanshi reconoció una brecha de servidor.
Consejos para Administradores de Tiendas
Sansec brindó recomendaciones sobre la infección de la puerta trasera. El malware reside en archivos llamados License.php y LicenseApi.php. Estos archivos incluyen un chequeo de licencia falso. Al ejecutarlos, el malware se activa.
El problema radica en la función adminLoadLicense. Esta ejecuta
$licenseFilecomo PHP. Un atacante puede controlar$licenseFilemediante la función adminUploadLicense.
Por lo tanto, los administradores deben eliminar el archivo de licencia falso. Esto ayudará a eliminar la puerta trasera de sus tiendas online. Además, es crucial tener precaución al usar software de los proveedores mencionados.
¿Qué opinas sobre esta situación? Comparte tus pensamientos en los comentarios.
Como joven medio de comunicación independiente, Seguridad y Firewall necesita tu ayuda. Apóyanos siguiéndonos y marcándonos como favoritos en Google News. Gracias por tu apoyo.
