Attacco alla Supply Chain su Magento 2: Estensioni compromesse con backdoor attiva

Attacco alla Supply Chain su Magento 2: Estensioni compromesse con backdoor attiva

Negli ultimi giorni è emersa una grave vulnerabilità che ha colpito centinaia di store Magento 2 a livello globale, causata da una backdoor dormiente introdotta in alcune estensioni di terze parti. L’attivazione è avvenuta ad aprile 2025, compromettendo tra i 500 e i 1000 siti e-commerce, inclusi nomi di rilievo.

🔥 Cosa è successo?

Alcuni vendor hanno pubblicato versioni aggiornate dei propri moduli contenenti un file chiamato License.php (o LicenseApi.php) che al loro interno nascondeva una funzione chiamata adminLoadLicense. Questa funzione permetteva l’esecuzione di codice PHP arbitrario via richiesta HTTP, sfruttando parametri come requestKey e dataSign.

La backdoor è stata dormiente per mesi prima di essere attivata, ed è passata inosservata a molti sviluppatori perché mascherata da semplice controllo licenza.

🧨 Vendor e moduli compromessi

Tigren

  • Ajaxsuite
  • Ajaxcart
  • Ajaxlogin
  • Ajaxcompare
  • Ajaxwishlist
  • MultiCOD

Meetanshi

  • ImageClean
  • CookieNotice
  • Flatshipping
  • FacebookChat
  • CurrencySwitcher
  • DeferJS
  • OutofstockNotifier

Magesolution (MGS)

  • Lookbook
  • StoreLocator
  • Brand
  • GDPR
  • Portfolio
  • Popup
  • DeliveryTime
  • ProductTabs
  • Blog

Weltpixel (in via di verifica)

  • GoogleTagManager

⚠️ Attenzione: Non tutti i moduli di questi vendor sono infetti, ma si raccomanda una verifica puntuale su ogni installazione.

🔐 Come difendersi

  1. Controlla se usi uno dei moduli elencati sopra.
  2. Cerca nel codice file come License.php o LicenseApi.php con metodi sospetti (adminLoadLicense, base64_decode, eval, ecc).
  3. Analizza il traffico di rete per richieste anomale dirette ai file suddetti.
  4. Utilizza tool automatici come Sansec eComscan per rilevare eventuali modifiche sospette.
  5. Pulisci e rimuovi il codice malevolo se presente, o sostituisci l’estensione con un’alternativa affidabile.
  6. Applica tutte le patch di sicurezza ufficiali, inclusa quella legata al recente CVE-2024-20720.

🧩 Risorse utili

📌 Considerazioni

Questo attacco dimostra ancora una volta l’importanza di:

  • Affidarsi solo a vendor affidabili e con codice open e verificabile.
  • Monitorare gli aggiornamenti delle estensioni installate.
  • Mantenere un ambiente di staging dove testare ogni upgrade prima del deploy in produzione.

Se hai bisogno di una verifica sul tuo progetto Magento 2 o vuoi migrare da moduli compromessi a soluzioni sicure, contattami pure.

Sono un web developer Freelance (programmatore web) in grado di offrire servizi di consulenza su diverse tipologie di progetti.
Dopo 6 anni di lavoro come dipendente in diverse agenzie di comunicazione, dal 2016 ho deciso di investire soldi e tempo nel mio sogno di diventare libero professionista.

Dal 2024 co-fondatore di threecommerce.it