Οι χάκερ έχουν εγχύσει malware σε πολλαπλές επεκτάσεις από το FishPig, έναν προμηθευτή ενσωματώσεων Magento-WordPress που μετρούν πάνω από 200.000 λήψεις.

Δείτε επίσης: Η Trend Micro προειδοποιεί για ευπάθεια Apex One RCE

Το Magento είναι μια δημοφιλής πλατφόρμα ηλεκτρονικού εμπορίου ανοιχτού κώδικα που χρησιμοποιείται για την κατασκευή ηλεκτρονικών καταστημάτων, υποστηρίζοντας την πώληση αγαθών αξίας δεκάδων δισεκατομμυρίων δολαρίων ετησίως.

Οι εισβολείς ανέλαβαν τον έλεγχο της υποδομής server του FishPig και πρόσθεσαν κακόβουλο κώδικα στο λογισμικό του πωλητή για να αποκτήσουν πρόσβαση σε ιστότοπους που χρησιμοποιούν τα προϊόντα, σε αυτό που περιγράφεται ως επίθεση supply-chain.

Ερευνητές ασφαλείας στη Sansec, μια εταιρεία που προσφέρει υπηρεσίες εντοπισμού ευπαθειών ηλεκτρονικού εμπορίου, επιβεβαίωσαν την παραβίαση του «FishPig Magento Security Suite» και του «FishPig WordPress Multisite».

Λένε ότι και άλλα paid extensions από τον προμηθευτή είναι πιθανό να έχουν παραβιαστεί. Ωστόσο, οι δωρεάν επεκτάσεις που φιλοξενούνται στο GitHub φαίνεται να είναι καθαρές.

Δείτε επίσης: WPGateway: Βρέθηκε σοβαρό zero-day bug στο WordPress plugin

Το κακόβουλο λογισμικό

Οι χάκερ εισήγαγαν malware στο License.php, ένα αρχείο που επικυρώνει άδειες σε premium FishPig plugins, το οποίο κατεβάζει ένα Linux binary από τους servers του FishPig.

Το binary είναι το Rekoobe, ένας remote access trojan (RAT) που έχει παρατηρηθεί στο παρελθόν να γίνεται drop από το rootkit Linux «Syslogk».

Κατά την εκκίνηση από τη μνήμη, το Rekoobe φορτώνει το configuration του, αφαιρεί όλα τα κακόβουλα αρχεία και λαμβάνει το όνομα μιας υπηρεσίας συστήματος για να κάνει την ανακάλυψή της πιο δύσκολη.

Τελικά, το Rekoobe βρίσκεται σε αδράνεια και περιμένει εντολές από έναν command and control (C2) server με έδρα τη Λετονία.

Η Sansec δεν είδε καμία ενέργεια να λαμβάνει χώρα, υποδηλώνοντας ότι οι απειλητικοί παράγοντες πίσω από την παραβίαση πιθανότατα σχεδίαζαν να πουλήσουν πρόσβαση στα παραβιασμένα καταστήματα ηλεκτρονικού εμπορίου.

Δείτε επίσης: Η ομάδα TA453 χρησιμοποιεί νέα τεχνική για πιο ρεαλιστικές phishing επιθέσεις

Ενέργειες αποκατάστασης

Οι έμποροι που έχουν εγκαταστήσει ή ενημερώσει το premium λογισμικό FishPig πριν από τις 19 Αυγούστου 2022 θα πρέπει να θεωρούν ότι τα καταστήματά τους έχουν παραβιαστεί και να προβούν στις ακόλουθες ενέργειες:

  • Απενεργοποιήστε όλες τις επεκτάσεις Fishpig
  • Εκτελέστε έναν malware scanner από την πλευρά του server
  • Κάντε επανεκκίνηση του server για να τερματίσετε τυχόν μη εξουσιοδοτημένες διαδικασίες παρασκηνίου
  • Για να αποκλείσετε τις εξερχόμενες συνδέσεις προσθέστε το

Απαντώντας σε αίτημα για σχόλια από την BleepingComputer, η FishPig είπε ότι ερευνούν τον αντίκτυπο της εισβολής. Η εταιρεία δημοσίευσε ένα security advisory που συνιστά αναβάθμιση όλων των modules FishPig.

Πηγή πληροφοριών: bleepingcomputer.com