Magento 供应链攻击攻陷数百家电商商店-CSDN博客

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

涉及21个后门 Magento 扩展的一起供应链攻击已攻陷500道1000家电商，其中一个商店属于一家市值4000亿美元的跨国公司。

Sansec 公司的研究人员表示，一些扩展早在2019年就被安装后门，但恶意代码在2025年4月才被激活。该公司解释称，“多名厂商在一起协同性供应链攻击中被黑，Sansec 发现了带有同样后门的21款应用。令人好奇的是，该恶意软件是在6年前注入的，但在攻击者完全控制电商服务器之后的本周才激活。”

Sansec 公司表示，这些受陷扩展来自 Tigren、Meetanshi 和 MGS三家厂商：

Tigren Ajaxsuite
Tigren Ajaxcart
Tigren Ajaxlogin
Tigren Ajaxcompare
Tigren Ajaxwishlist
Tigren MultiCOD
Meetanshi ImageClean
Meetanshi CookieNotice
Meetanshi Flatshipping
Meetanshi FacebookChat
Meetanshi CurrencySwitcher
Meetanshi DeferJS
MGS Lookbook
MGS StoreLocator
MGS Brand
MGS GDPR
MGS Portfolio
MGS Popup
MGS DeliveryTime
MGS ProductTabs
MGS Blog

该公司还发现了Weltpixel GoogleTagManager 扩展的受陷版本，但无法证实攻陷点是厂商还是网站。在所有观察到的案例中，这些扩展将一个PHP后门添加到由该扩展使用的一个许可检查文件 (License.php 或 LicenseApi.php) 中。

该恶意代码检查包含特殊元素 “requestKey” 和 “dataSign”的HTTP 请求，检查PHP文件中的硬编码密钥。如检查成功，则该后门授予访问文件中其它管理员功能的访问权限，如允许远程用户上传新的许可并将其保存为文件。之后，通过 PHP 函数 “include_once()”包含该文件，而该函数用于加载文件并自动执行所上传许可文件中的任何代码。虽然该后门此前的版本无需认证，但新版本使用了硬编码密钥。

Sansec 表示，该后门用于将一个 webshell 上传到其中一名客户的网站之一。鉴于该攻击能够上传和运行任意PHP代码，因此可能造成数据窃取、卡读取器注入、任意管理员账号创建等等。Sansec 公司联系了上述三家厂商并提醒他们该后门的存在。MGS 尚未回应，Tigren 否认数据遭泄露并继续分发存在后门的扩展，而Meetanshi 证实服务器被攻陷而非扩展遭攻陷。

BleepingComputer 独立证实该后门存在于可免费下载的 MGS StoreLocator 扩展中，不过并未证实该漏洞是否存在于 Sansec 公司报送的其它扩展中。

建议上述扩展的用户对服务器进行全面扫描，查找 Sansec 公司共享的妥协指标，如可能，则从已知的清洁版备份中恢复站点。Sansec 公司表示该漏洞已存在六年之久但目前才开始激活，并表示随着调查的开展将提供更多观察。目前上述三家厂商尚未就此事回应BleepingComputer。