3. Parti Risk Yönetimi, Kart mevcut Dolandırıcılık, Sahtekarlık Yönetimi ve Siber Suç
Dormant PHP arka kapı ödeme verilerini çalar
Rashmi Ramesh (Rashmiramesh_) •
6 Mayıs 2025
Çevrimiçi hikayeler için yaygın olarak kullanılan Magento uzantılarına sıkışmış bir arka kapının belirgin olması altı yıl sürdü, ancak 20 Nisan’da yüzlerce dijital vitrin önünü etkiledi.
Ayrıca bakınız: Üçüncü taraf risk yönetiminde ortaya çıkan tehditlerin izlenmesi ve azaltılması
Güvenlik firması SANSEC, tehdit aktörleri, genişletme satıcıları Tigren, Magesolution ve Meetanshi tarafından işletilen indirme sunucularında kötü niyetli kodu sessizce koruduktan sonra koordineli bir hack ortaya çıkardı.
Sansec, 500 ila 1.000 mağazanın “40 milyar dolarlık çokuluslu” da dahil olmak üzere sırt örtü yazılımı çalıştırdığını tahmin ediyor.
Araştırmacılar, “Bir arka kapağın altı yıl boyunca tespit edilmediği nadirdir, ancak gerçek istismarın şimdi başladığı bile daha yabancı.” Dedi.
2019-2022 yılları arasında yayınlanan ve adlandırılan dosyalarda gizlenmiş aynı kötü niyetli mantığı paylaşan 21 modül belirlediler. License.php veya LicenseApi.php. Her ne kadar kötü amaçlı yazılım Nisan ayı sonuna kadar uykuda olmasına rağmen, o zamandan beri etkilenen sunucularda uzaktan kod yürütmeyi ele geçirmek için kullanılmıştır.
Etkinleştirildikten sonra, arka kapı, uzaktan bir PHP yükünü getirir ve çalıştırır. adminLoadLicense işlev, saldırganların isteğe bağlı kodu enjekte etmesini sağlayan (bkz: Magecart sıyırma taktikleri gelişiyor).
Dördüncü bir sağlayıcı olan Weltpixel, aynı zamanda tehlikeye atılmış gibi görünüyor GoogleTagManager Sansec, Weltpixel’in altyapısının veya bireysel mağazaların ilk saldırı vektörü olup olmadığını henüz belirlememesine rağmen, uzatma.
Etkilenen Tigren modülleri arasında AjaxSuite, Ajaxcart, Ajaxlogin, AjaxCompare, Ajaxwishlist ve MultiCod bulunur. Meetanshi’nin sırt kapısı teklifleri ImageClean, Cookienotice, Flatship, FacebookChat, CurrencysWitcher ve Deferjs’e yayılmıştır. Saldırıdan etkilenen MGS paketleri arasında Lookbook, Storelocator, Marka, GDPR, Portföy, Popup, Dağıtım Zamanı, ProductTabs ve Blog bulunmaktadır.
İçeri girdikten sonra saldırganlar, müşteri tarayıcılarına Magecart tarzı sıyırma komut dosyalarını dağıtmak için arka kapıyı kullanırlar. Bu komut dosyaları ödeme yapmadan önce ödeme kartı bilgilerini ve diğer kişisel verileri yakalar.
Tedarikçi reaksiyonları karıştırılmıştır. Magesolution, Sansec’in sorularına cevap vermedi ve enfekte olmuş paketleri 30 Nisan itibariyle mevcut kaldı. Tigren herhangi bir ihlali reddetti, ancak aynı şekilde uzatılan uzantıları dağıtmaya devam etti. Meetanshi bir sunucu ihlalini doğruladı, ancak yayınlanan kodunun asla kurcalanmadığı konusunda ısrar etti.