网络犯罪分子等待数年才激活 Magento 软件中的大型电子商务后门

供应链攻击在袭击目标之前可能会潜伏很长一段时间，但它们通常不会耗费数年时间才能实现目标。然而，最近发现的一次攻击却在创纪录的时间内未被发现。

至少有三家电商软件工具供应商在至少六年前的一次协同供应链攻击中遭到入侵。据安全公司Sansec称，身份不明的攻击者在这些供应商的产品中植入了危险的后门，几天前才控制了第三方电商服务器。

该后门最终感染了数百个电商网站，Sansec 估计受害者总数在 500 到 1000 个之间。受影响的网站既有小型企业，也有大型企业，其中包括一家价值 400 亿美元的跨国公司，Sansec 拒绝透露其身份。

受感染的供应商提供 Magento 的扩展程序，Magento 是 Adobe 几年前收购的开源电子商务平台。Sansec 报告称，Tigren、Magesolution 和 Meetanshi 的服务器遭到入侵，攻击者在其下载系统中注入了后门。

分析师还发现了 Weltpixel GoogleTagManager 插件的篡改版本。然而，目前尚不清楚 Weltpixel 的系统是否直接受到影响，还是只有终端用户的电商商店受到影响。

Sansec 将供应链攻击描述为在线系统面临的最严重威胁之一。在入侵供应商服务器后，网络犯罪分子不仅获得了供应商客户的访问权限，还进而获得了访问受影响电商商店的所有终端用户的访问权限。

一旦激活，后门就会在用户的浏览器中执行其恶意负载，以类似于典型的Magecart 攻击的方式窃取支付信息。

该安全公司已发布指南，帮助网站运营商确定其电商平台是否已受到此次新供应链攻击活动的攻击。其中一个关键指标是，一个 PHP 函数试图加载名为“$licenseFile”的文件，从而引发一系列执行，最终导致恶意 PHP 代码注入。

Sansec 表示，它已尝试警告受影响的插件供应商。尽管收到了警告，但据报道，Tigren 和 Magesolution 仍在继续传播其工具的受感染版本。

技术报告：

https://sansec.io/research/license-backdoor

新闻链接：

https://www.techspot.com/news/107817-supply-chain-attack-lies-dormant-six-years-before.html