Um ataque coordenado à cadeia de fornecimento, explorando vulnerabilidades em 21 extensões da popular plataforma de comércio eletrónico Magento, resultou no comprometimento de um número significativo de lojas online, estimado entre 500 e 1.000. Entre as vítimas encontra-se, alegadamente, uma loja pertencente a uma multinacional com um valor de mercado de 40 mil milhões de dólares.
A descoberta foi feita por investigadores da empresa de segurança Sansec, que alertaram para a natureza peculiar do ataque: embora algumas das extensões tivessem sido adulteradas com código malicioso (backdoors) já em 2019, este só foi ativado em abril de 2025.
"Vários fornecedores foram alvo de hacking num ataque coordenado à cadeia de fornecimento. A Sansec encontrou 21 aplicações com o mesmo backdoor", explica a empresa. "Curiosamente, o malware foi injetado há 6 anos, mas só ganhou vida esta semana, quando os atacantes assumiram o controlo total dos servidores de comércio eletrónico."
Extensões comprometidas e fornecedores afetados
Segundo a Sansec, as extensões comprometidas pertencem a três fornecedores principais: Tigren, Meetanshi e MGS. A lista inclui:
Tigren: Ajaxsuite, Ajaxcart, Ajaxlogin, Ajaxcompare, Ajaxwishlist, MultiCOD
Meetanshi: ImageClean, CookieNotice, Flatshipping, FacebookChat, CurrencySwitcher, DeferJS
MGS: Lookbook, StoreLocator, Brand, GDPR, Portfolio, Popup, DeliveryTime, ProductTabs, Blog
A Sansec encontrou também uma versão comprometida da extensão GoogleTagManager da Weltpixel, mas não conseguiu confirmar se a adulteração ocorreu ao nível do fornecedor ou diretamente no website afetado.
Detalhes técnicos do backdoor
Em todos os casos analisados, o código malicioso foi adicionado a um ficheiro PHP responsável pela verificação de licenças, tipicamente denominado License.php ou LicenseApi.php. Este backdoor fica à escuta de pedidos HTTP que contenham parâmetros específicos, designados requestKey e dataSign.
Se estes parâmetros corresponderem a chaves pré-definidas no código do backdoor, a verificação é bem-sucedida e o atacante ganha acesso a outras funções administrativas presentes no ficheiro. Uma destas funções permite ao utilizador remoto carregar um novo ficheiro de "licença".
Este ficheiro carregado é então incluído no sistema através da função PHP include_once(), o que resulta na execução imediata de qualquer código PHP malicioso contido nesse ficheiro. Embora versões mais antigas do backdoor não requeressem autenticação, as mais recentes utilizam uma chave pré-definida para validar o acesso. A Sansec reportou à BleepingComputer que esta técnica foi utilizada para instalar uma webshell num dos servidores dos seus clientes.
Quais os riscos para as lojas afetadas?
A capacidade de carregar e executar código PHP arbitrário nos servidores comprometidos abre a porta a uma vasta gama de atividades maliciosas. Os atacantes podem:
Roubar dados sensíveis, como informações de clientes e detalhes de pagamento.
Injetar "skimmers" para capturar dados de cartões de crédito em tempo real.
Criar contas de administrador não autorizadas.
Obter controlo total sobre o servidor da loja online.
A resposta dos fornecedores
Após a descoberta, a Sansec contactou os três fornecedores implicados. Segundo a empresa de segurança:
A MGS não forneceu qualquer resposta.
A Tigren negou ter sofrido qualquer violação de segurança e, alegadamente, continua a distribuir extensões com o backdoor.
A Meetanshi admitiu uma violação nos seus servidores, mas negou que as suas extensões tivessem sido comprometidas.
O que fazer se utiliza estas extensões?
A recomendação para os proprietários de lojas online que utilizem qualquer uma das extensões mencionadas é a realização imediata de verificações de segurança completas nos seus servidores, procurando pelos indicadores de compromisso (IoCs) divulgados pela Sansec no seu relatório.
Considerando a natureza do ataque, a medida mais segura é restaurar o website a partir de uma cópia de segurança (backup) garantidamente limpa e anterior à data da potencial infeção.
A peculiaridade do longo período de inatividade do backdoor (seis anos) antes da sua ativação recente continua sob investigação pela Sansec, que prometeu fornecer mais detalhes sobre o caso assim que possível.
Nenhum comentário
Seja o primeiro!