Un malware rimasto nascosto per sei lunghi anni: un codice silenzioso, dormiente, ma perfettamente in grado di risvegliarsi e prendere il controllo di centinaia di negozi online.
È quanto ha scoperto Sansec, azienda leader nella sicurezza per l’e-commerce, che ha lanciato l’allarme su una sofisticata backdoor inserita in 21 estensioni di Magento, una delle piattaforme più diffuse al mondo.
Indice degli argomenti
Il cavallo di Troia: la finta licenza
Secondo l’indagine di Sansec, i server di tre noti vendor di estensioni Magento (Tigren, Meetanshi e Magesolution (MGS)) sarebbero stati compromessi. Gli attaccanti avrebbero iniettato una backdoor nei pacchetti di estensioni distribuiti pubblicamente, rimanendo inosservati per oltre sei anni fino all’attivazione del codice maligno nell’aprile 2025.
I criminal hacker sono riusciti a inserire un file chiamato “License.php” (o LicenseApi.php), apparentemente innocuo, che conteneva un codice capace di eseguire istruzioni remote sul server dello store.
Questa licenza era, in realtà, una porta d’ingresso segreta, attivabile dagli autori dell’attacco. La funzione principale, “adminLoadLicense”, eseguiva infatti un file PHP arbitrario specificato da una variabile controllabile, consentendo potenzialmente l’esecuzione di codice remoto sul server del negozio online.
Secondo Sansec, le versioni più recenti della backdoor utilizzerebbero anche una chiave codificata per l’autenticazione.
Attivazione del malware nel 2025
Il malware è entrato in fase attiva ad aprile 2025, con chiamate verso domini esterni che suggeriscono l’avvio di un attacco su larga scala. Sansec stima che tra 500 e 1.000 store Magento siano attualmente esposti a questa vulnerabilità.
I rischi includerebbero accessi non autorizzati, furto di dati dei clienti e completo controllo remoto dei server.
“Centinaia di negozi, tra cui una multinazionale da 40 miliardi di dollari, utilizzano versioni con backdoor di software di e-commerce molto diffusi. Abbiamo scoperto che la backdoor è utilizzata attivamente almeno dal 20 aprile. Sansec ha identificato queste backdoor nei seguenti pacchetti, pubblicati tra il 2019 e il 2022.”, si legge nel rapporto Sansec.
Un attacco alla supply chain di livello avanzato
Ciò che rende questo attacco particolarmente pericoloso è che è stata la filiera stessa del software a essere compromessa: non è il negozio a essere stato direttamente attaccato, ma il software che utilizza.
“Questo attacco è chiamato “Supply Chain Attack”, uno dei peggiori. Hackerando questi fornitori, l’aggressore ha ottenuto l’accesso a tutti i negozi dei loro clienti e, per procura, a tutti i clienti che visitano questi negozi.”, continua il rapporto.
Tra le estensioni compromesse figurano:
- Tigren: Ajaxsuite, Ajaxcart, Ajaxlogin, Ajaxcompare, Ajaxwishlist, MultiCOD.
- Meetanshi: ImageClean, CookieNotice, Flatshipping, FacebookChat, CurrencySwitcher, DeferJS.
- MGS: Lookbook, StoreLocator, Brand, GDPR, Portfolio, Popup, DeliveryTime, ProductTabs, Blog.
Raccomandazioni di sicurezza
Sansec raccomanda agli store manager e alle piattaforme e-commerce di:
- adottare una strategia di sicurezza proattiva;
- scansionare immediatamente i propri server con strumenti anti-malware;
- eliminare i file License.php o simili se non autorizzati;
- verificare l’integrità delle estensioni installate;
- ricontrollare l’origine delle estensioni scaricate, anche se note e “affidabili”;
- monitorare i log server per attività insolite.
Lezione appresa
Questo caso dimostra che la fiducia nella filiera del software non può mai essere incondizionata.
Anche strumenti diffusi e legittimi possono trasformarsi in minacce, se la sicurezza dei fornitori viene compromessa, diventando veicoli di attacco.
