Атака на постачальницький ланцюг: електронна комерція під загрозою

Головна — News — Атака на постачальницький ланцюг: електронна комерція під загрозою

Дослідники в галузі безпеки виявили складну атаку на ланцюг постачання, яка торкнулася щонайменше 500 онлайн-магазинів, створених на платформі Adobe Commerce (раніше Magento). Ця кампанія, що вперше запровадила «сплячий» PHP бекдор майже шість років тому, активізувалася в квітні 2025 року, щоб впровадити платіжні скіммери в стилі Magecart у браузери користувачів. Атака триває, ставлячи під загрозу мільйони покупців, які можуть стати жертвами крадіжки платіжних даних та збору облікових даних.

Обсяг порушення

Голландська компанія Sansec, яка виявила цю компрометацію, підтвердила наявність заражень у трьох постачальників сторонніх розширень — Tigren, Magesolution (MGS) та Meetanshi, а також у невірогідного четвертого постачальника, Weltpixel. Хоча Sansec зафіксувала 21 відомий шкідливий модуль, приблизно 1,000 магазинів можуть бути під загрозою, коли всі індивідуальні та приватні розширення будуть перевірені.

Серед постраждалих — мультинаціональний рітейлер вартістю 40 мільярдів доларів. На початку червня глобальні заходи з усунення наслідків залишаються обмеженими: Tigren і Magesolution продовжують поширювати версії з бекдорами, а Meetanshi визнає факт зламу, але заперечує активні маніпуляції. Останнє попередження від Adobe закликає всіх продавців Magento 2 перевірити встановлені розширення на предмет відомих хороших хешів і оновити до версії 2.4.5-p3 або новішої.

Related topic

Spotify відреагував на відкриті платежі Apple: аналіз ситуації

2025-05-02

Механізм атаки та технічний аналіз

Зловмисники вбудували секретну функцію завантаження в кожне з компрометованих розширень. Коли активується за допомогою специфічного HTTP-заголовка або параметра, цей завантажувач записує довільний PHP-код на диск і виконує його, надаючи повний віддалений доступ до виконання коду (RCE) на веб-сервері.

Після отримання контролю на стороні сервера, зловмисники додають тег скрипта на сторінки оформлення замовлення та кошика. Цей JavaScript перехоплює натискання клавіш, фіксує виклики window.fetch і передає дані кредитних карток на домени, контрольовані зловмисниками. Багатоступенева шкідлива програма уникала виявлення, використовуючи зашифровані конфігураційні файли та тригери на основі часу, щоб залишатися в сплячому режимі до активації.

Заражені розширення

Tigren: Ajaxsuite, Ajaxcart, Ajaxlogin, Ajaxcompare, Ajaxwishlist, MultiCOD

Meetanshi: ImageClean, CookieNotice, Flatshipping, FacebookChat, CurrencySwitcher, DeferJS

Magesolution (MGS): Lookbook, StoreLocator, Brand, GDPR, Portfolio, Popup, DeliveryTime, ProductTabs, Blog

Related topic

30-річна спадщина неофіційних сторінок Elder Scrolls

2025-05-02

Техніки виявлення та судово-медичні дослідження

Продавці можуть виявити компрометацію, перевіривши контрольні суми файлів у репозиторіях постачальників або використовуючи правила YARA, які виявляють унікальний підпис завантажувача. Інструменти виявлення та реагування на кінцевих точках (EDR), такі як CrowdStrike і Carbon Black, можуть виявити аномальні PHP-процеси, які викликають eval() або system(). Логи мережі з веб-додатком firewall (WAF), такими як Cloudflare або ModSecurity, слід перевіряти на наявність незвичних POST-параметрів або зв’язків з підозрілими доменами.

Судово-медичні аналітики радять:

Увімкнути моніторинг цілісності файлів (FIM), щоб виявити несанкціоновані зміни в каталогах /app/code та /vendor.

Використовувати статичне тестування безпеки додатків (SAST) для виявлення вбудованих патернів бекдору.

Виконати аналіз хронології на серверах, щоб корелювати зміни коду з піками трафіку оформлення замовлень.

Стратегії пом’якшення та управління патчами

У червневому бюлетені безпеки Adobe 2025 року рекомендовані термінові дії:

Оновити до Adobe Commerce 2.4.5-p3 або новішої версії, що вводить посилене підписання коду для основних модулів.

Вимкнути непотрібні PHP-функції (eval, exec, system) через php.ini або обмеження на рівні хостингу.

Запровадити двофакторну аутентифікацію (2FA) для всіх адміністраторів та змінювати API-ключі.

Впровадити політику безпеки контенту (CSP), щоб обмежити вбудовані скрипти та зовнішні джерела скриптів.

Реалізувати конвеєри безперервної інтеграції/безперервного розгортання (CI/CD) з автоматизованим скануванням на вразливості.

Related topic

Кампанія MPA проти піратства під підозрою через проблеми з ліцензією шрифтів

2025-04-27

Вплив на відповідність та рітейл

Згідно з правилами PCI DSS, продавці повинні дотримуватися безпечних практик кодування та регулярно проводити перевірки коду. Невиконання цих вимог може призвести до штрафів до 500,000 доларів та втрати прав на обробку карток. Аналітик Gartner, доктор Джейн Сміт, попереджає: «Атаки на ланцюг постачання, які націлені на розширення веб-магазинів, є наступним фронтом у кіберзлочинності в рітейлі — організації повинні впроваджувати принципи нульового довіри для всього стороннього коду.»

Думка експертів

Брайан Кребс, засновник KrebsOnSecurity, зазначає, що «це порушення підкреслює ризики, властиві екосистемам з відкритим кодом, де довіра є імпліцитною. Навіть один компрометований модуль може призвести до катастрофічної крадіжки даних.» Консультант з безпеки Олексій Іванов додає: «Організації повинні ізолювати виконання розширень у контейнерах або спеціалізованих мікросервісах, щоб обмежити зону ураження — впроваджувати шкідливий код стає значно важче, коли кожен компонент має мінімальні привілеї.»

Related topic

Цифрова Спадщина 4chan: Від LOLкотів до Світового Впливу

2025-04-23

Перспективи

Оскільки платформи електронної комерції розвиваються, зростають і загрози. Adobe оголосила про плани створення автоматизованого ринку розширень з криптографічним підписуванням та скануванням на шкідливе програмне забезпечення в режимі реального часу. До тих пір продавці повинні проактивно перевіряти сторонній код, впроваджувати надійні цикли патчування та контролювати транзакційні потоки на предмет аномальної активності.