
Güvenlik araştırmacıları son zamanlarda yaygın olarak kullanılan 21 uygulamayla e-ticaret platformlarını hedefleyen sofistike bir tedarik zinciri saldırısı ortaya çıkardılar.
2019 ve 2022 arasındaki ilk enjeksiyonundan sonra altı yıl boyunca uykuda kalan arka kapı, son zamanlarda etkinleştirildi ve saldırganlara etkilenen sunucular üzerinde tam kontrol sağladı.
Kötü amaçlı yazılım, popüler satıcıların uzantılarına gömülü aldatıcı bir lisans doğrulama mekanizması yoluyla çalışır.
Yıllar önce ekilmesine rağmen, kod sadece 20 Nisan 2025’ten itibaren aktif sömürü belirtileri göstermeye başladı ve kampanyanın arkasındaki tehdit aktörleri tarafından endişe verici bir sabır ve stratejik planlama gösterdi.
SANSEC araştırmacıları, üç büyük satıcıdan gelen birden fazla uygulamada arka kapıyı belirlediler: Tigren, Meetanshi ve Magesolution (MGS).
Dördüncü bir satıcı olan Weltpixel de tehlikeye atılabilir, ancak araştırmacılar şirketin kendisinin ihlal edilip edilmediğini veya uzantılarını kullanan belirli mağazaların ayrı ayrı hedeflenip hedeflenmediğini henüz doğrulamamıştır.
Saldırının ölçeği önemlidir ve güvenlik uzmanları şu anda uzlaşmış yazılımı yürütmekte olan 500 ila 1000 e -ticaret mağazasını tahmin etmektedir.
Bu yaygın dağıtım, güvenilir yazılım sağlayıcıları aracılığıyla çok sayıda kuruluşu etkilemek için tedarik zinciri saldırılarının yıkıcı potansiyelini vurgulamaktadır.
Enfeksiyon mekanizması
Backdoor’un teknik uygulama, lisans.php veya licenseeapi.php adlı dosyalarda yer alan sahte bir lisans doğrulama sistemi etrafında merkezlenir.
Güvenlik açığının özünde, keyfi kod yürüten adminloadLicense işlevi vardır:-
protected function adminLoadLicense($licenseFile)
{
// ...
$data = include_once($licenseFile);
// ...
}
Bu işlev, saldırganların AdminUploAdlicense işlevini kullanarak manipüle edebilecekleri $ LisansFile parametresi aracılığıyla kötü amaçlı kod enjekte etmelerini sağlar.
Eski sürümler (2019) kimlik doğrulaması gerektirmezken, daha sonra yinelemeler, her satıcıya özgü sabit kodlu sağlama toplamları ve tuz değerleri kullanılarak doğrulama uyguladı.
Arka kapı, etkilenen tüm paketler arasında tutarlı bir yapıyı korurken, yetkilendirme sağlama toplamları, arka kapı yolları ve algılamadan kaçınmak için lisans dosya adları gibi belirli unsurları değiştirir.
Are you from the SOC and DFIR Teams? – Analyse Real time Malware Incidents with ANY.RUN -> Start Now for Free.