Une attaque de la chaîne d’approvisionnement impliquant 21 extensions Magento backdoor a compromis entre 500 et 1 000 magasins de commerce électronique, dont un appartenant à une multinationale de 40 milliards de dollars.
Les chercheurs de Swansea qui ont découvert l’attaque rapportent que certaines extensions ont été backdoorées dès 2019, mais le code malveillant n’a été activé qu’en avril 2025.
« Plusieurs fournisseurs ont été piratés lors d’une attaque coordonnée de la chaîne d’approvisionnement, Sansec a trouvé 21 applications avec la même porte dérobée », explique Sansec.
« »Curieusement, le malware a été injecté il y a 6 ans, mais a pris vie cette semaine alors que les attaquants prenaient le contrôle total des serveurs de commerce électronique. »
Sense dit que les extensions compromises proviennent des fournisseurs Tigran, Meetanshi et MGS:
- Tigren Ajaxsuite
- Tigren Ajaxcart
- Tigren Ajaxlogin
- Tigren Ajaxcompare
- Tigren Ajaxwishlist
- Tigren MultiCOD
- Meetanshi ImageClean
- Meetanshi CookieNotice
- Meetanshi Flatshipping
- Meetanshi FacebookChat
- Meetanshi CurrencySwitcher
- Meetanshi DeferJS
- MGS Lookbook
- MGS StoreLocator
- MGS Brand
- MGS GDPR
- MGS Portfolio
- MGS Popup
- MGS DeliveryTime
- MGS ProductTabs
- MGS Blog
Swansea a également trouvé une version compromise de l’extension Weltpixel GoogleTagManager, mais n’a pas pu confirmer si le point de compromission était chez le fournisseur ou sur le site Web.
Dans tous les cas observés, les extensions incluent une porte dérobée PHP ajoutée à un fichier de vérification de licence (Licence.php ou LicenseApi.php) utilisé par l’extension.
Ce code malveillant vérifie les requêtes HTTP contenant des paramètres spéciaux nommés « clé de requête » et « signe de données », qui sont utilisés pour effectuer une vérification par rapport aux clés codées en dur dans les fichiers PHP.
Si la vérification réussit, la porte dérobée donne accès à d’autres fonctions d’administration du fichier, y compris une qui permet à un utilisateur distant de télécharger une nouvelle licence et de l’enregistrer en tant que fichier.
Ce fichier est ensuite inclus à l’aide de la fonction PHP « include_once () », qui charge le fichier et exécute automatiquement tout code dans le fichier de licence téléchargé.
Les anciennes versions de la porte dérobée ne nécessitaient pas d’authentification, mais les plus récentes utilisent une clé codée en dur.
Sansec a déclaré à Breachtrace que cette porte dérobée était utilisée pour télécharger un webshell sur l’un des sites de leurs clients.
Étant donné la possibilité de télécharger et d’exécuter n’importe quel code PHP, les répercussions potentielles de l’attaque incluent le vol de données, l’injection d’écumoire, la création arbitraire de comptes d’administrateur, etc.
Sansec a contacté les trois vendeurs, les avertissant de la porte dérobée découverte. La firme de cybersécurité affirme que MGS n’a pas répondu, Tigren a nié une violation et continue de distribuer des extensions backdoor, et Meetanshi a admis une violation de serveur mais pas une compromission d’extension.
Breachtrace a confirmé indépendamment que cette porte dérobée était présente dans l’extension MGS StoreLocator, téléchargeable gratuitement sur leur site. Nous n’avons pas confirmé si la porte dérobée est présente dans les autres extensions signalées par Sansec.
Il est recommandé aux utilisateurs des extensions mentionnées d’effectuer des analyses complètes du serveur à la recherche des indicateurs de compromission Sansec partagés dans son rapport et, si possible, de restaurer le site à partir d’une sauvegarde connue et propre.
Sansec a commenté la particularité de la porte dérobée dormant pendant six ans et ne s’activant que maintenant et a promis de fournir des informations supplémentaires sur leur enquête en cours.
Breachtrace a contacté les trois fournisseurs, mais n’a pas reçu de réponse pour le moment.