Привет из прошлого: как старые уязвимости в Magento CMS дали о себе знать в 2025 году

Специалисты из Sansec обнаружили масштабную атаку на цепочку поставок, в ходе которой злоумышленники ещё в 2019 году внедрили бэкдоры в популярные расширения для Magento CMS (платформа для электронной коммерции, функционирует как система управления контентом и позволяет создавать и управлять различными типами контента, включая статические страницы, блоки и виджеты, которые затем можно интегрировать в интернет-магазин. Эти вредоносные компоненты «спали» шесть лет, активировавшись лишь в апреле 2025 года, что привело к компрометации множества онлайн-магазинов по всему миру.

Механизм атаки

Вредоносный код был внедрён в файл проверки лицензии (License.php или LicenseApi.php) расширений. Он анализировал входящие HTTP-запросы на наличие определённых параметров (requestKey и dataSign) и, при совпадении с жёстко закодированными ключами, предоставлял доступ к функциям администрирования. Это позволяло злоумышленникам загружать и исполнять произвольный PHP-код на сервере жертвы.

Масштаб и последствия

Среди скомпрометированных расширений оказались продукты от Tigren, Meetanshi и MGS (Magesolution). Также была обнаружена заражённая версия расширения Weltpixel GoogleTagManager, однако источник её компрометации остаётся неясным.

Sansec попыталась связаться с разработчиками: MGS не ответила на запрос, Tigren отрицала факт взлома и продолжила распространение заражённых расширений, а Meetanshi признала взлом сервера, но не подтвердила компрометацию своих продуктов.

Одна из жертв атаки - транснациональная корпорация с оборотом в $40 миллиардов.

Рекомендации

Пользователям указанных расширений рекомендуется:

• Провести полное сканирование файлов на сервере на наличие бэкдоров.

• Восстановить сайты из заведомо чистых резервных копий.

• Обновить все расширения до последних версий и убедиться в их безопасности.

Аналитики Sansec продолжают расследование и обещают предоставить дополнительные детали по мере их появления.