Backdoors que foram plantados seis anos atrás em plugins do Magento estão sendo agora ativados para sequestrar quase mil lojas baseadas nessa plataforma. Os ataques iniciais ocorreram em 2019, quando os invasores supostamente obtiveram acesso aos servidores da Magesolution, Meetanshi e Tigren, empresas que produzem plugins para o Magento. De acordo com a empresa de segurança Sansec, os hackers modificaram o código-fonte de 21 plugins. O backdoor estava oculto no arquivo License.php, que normalmente é incluído na maioria dos plugins para verificar se o usuário possui uma licença válida.
Leia também
Adobe admite brecha de segurança no Magento Marketplace
Vulnerabilidades no Windows e Adobe ColdFusion
A Sansec afirma que o código malicioso ficou inativo por seis anos, até abril, quando os invasores começaram a explorá-lo para implantar código malicioso em lojas Magento que instalaram os plugins.
O código do backdoor verificava a existência de uma chave secreta nas solicitações recebidas e permitia que o detentor da chave executasse comandos no servidor.
Embora a remoção dos plugins maliciosos, listados abaixo, remova a entrada inicial para os invasores, as lojas precisarão de uma verificação completa para garantir que os hackers não tenham deixado shells da web adicionais para acesso secundário.
Até agora, os ataques parecem ter atingido alguns sites importantes, e a Sansec afirma que uma das vítimas é uma “multinacional de US$ 40 bilhões”.
