大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
你以为用的是安全的电商插件?大错特错!一场精心策划长达6年的供应链攻击,正悄然席卷全球电商界!
Sansec的安全专家们近日爆出猛料:黑客通过入侵Tigren、Magesolution(MGS)和Meetanshi等知名插件供应商的下载服务器,在21款Magento电商插件中植入后门!这波攻击来势汹汹,预计已有500到1000家电商店铺惨遭毒手,其中甚至包括一家市值400亿美元的跨国巨头!
六年前的潜伏,如今的爆发
令人震惊的是,恶意代码早在2019年就已被植入,却一直未被察觉。直到近期黑客开始利用后门入侵电商服务器,这场“沉睡”了6年的攻击才终于浮出水面。
研究人员发现,这些恶意插件中的后门,主要藏在名为`License.php`或`LicenseApi.php`的文件中,通过伪造的许可证检查机制作恶。在2019年的旧版本插件里,黑客无需任何认证就能为所欲为;新版本虽增加了密钥验证,但对黑客来说,也不过是多了一道“小门槛”。只要通过`adminUploadLicense`函数,他们就能轻松控制`$licenseFile`变量,进而执行恶意PHP代码,完全掌控店铺系统!
## 被攻击的插件清单,快自查!
以下是涉及此次攻击的21款“毒插件”,各位电商从业者赶紧对照自查!
|供应商|插件名称|
|----|----|
|Tigren|Ajaxsuite|
|Tigren|Ajaxcart|
|Tigren|Ajaxlogin|
|Tigren|Ajaxcompare|
|Tigren|Ajaxwishlist|
|Tigren|MultiCOD|
|Meetanshi|ImageClean|
|Meetanshi|CookieNotice|
|Meetanshi|Flatshipping|
|Meetanshi|FacebookChat|
|Meetanshi|CurrencySwitcher|
|Meetanshi|DeferJS|
|MGS|Lookbook|
|MGS|StoreLocator|
|MGS|Brand|
|MGS|GDPR|
|MGS|Portfolio|
|MGS|Popup|
|MGS|DeliveryTime|
|MGS|ProductTabs|
|MGS|Blog|
供应商的迷之操作
Sansec第一时间联系了受影响的供应商,然而得到的回应却让人匪夷所思:
Tigren 矢口否认被黑客攻击,可他们问题插件至今仍在官网售卖;
Meetanshi 承认服务器被入侵,却坚称插件未遭篡改;
Magesolution(MGS) 更是玩起了“消失”,既不回应,有问题的插件也没下架。
“一个后门隐藏6年没被发现,更奇怪的是现在才开始大规模攻击。” 报告的结论,道出了整个事件的诡异之处。
电商老板们,快行动起来!
如果你经营的电商店铺使用了上述插件,务必立即采取行动:
1. 紧急停用:马上停用这些问题插件,避免黑客进一步攻击;
2. 全面排查:检查店铺系统日志,查看是否有异常操作记录;
3. 更新系统:及时更新Magento系统和所有插件,打上最新安全补丁;
4. 联系专业团队:若不确定店铺是否已被入侵,尽快寻求专业安全团队的帮助。
这场供应链攻击给所有电商从业者敲响了警钟:安全无小事,即便是知名供应商的插件,也可能暗藏危机!转发这篇文章,提醒身边的电商朋友,一起守护店铺安全,别让辛苦经营毁于一旦!
加入知识星球,可继续阅读
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):惊天大案!21款Magento插件暗藏后门,超千家电商被黑,400亿美元巨头也中招!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论