Bilgisayar korsanları, 200.000'den fazla indirme sayan Magento-WordPress entegrasyonlarının satıcısı Fishpig'den birden fazla uzantıya kötü amaçlı yazılım enjekte etti.
Magento, elektronik mağazalar inşa etmek için kullanılan ve yılda on milyar dolarlık mal satışını destekleyen popüler bir açık kaynaklı e-ticaret platformudur.
Davetsiz misafirler, Fishpig'in sunucu altyapısının kontrolünü ele geçirdiler ve ürünleri kullanarak web sitelerine erişmek için satıcının yazılımına, tedarik zinciri saldırısı olarak tanımlanan ürünlere erişmek için kötü amaçlı kod eklediler.
E -ticaret kötü amaçlı yazılım ve güvenlik açığı algılama hizmetleri sunan bir şirket olan SANSEC'deki güvenlik araştırmacıları, 'Fishpig Magento Güvenlik Suit' ve 'Fishpig WordPress Multisite' uzlaşmasını doğruladı.
Satıcıdan diğer ücretli uzantıların da tehlikeye atıldığını söylüyorlar. Github'da barındırılan ücretsiz uzantılar temiz görünüyor.
Bilgisayar korsanları, kötü amaçlı kodları, FishPig'in sunucularından ("lisans.fishpig.co.uk") bir Linux ikili ("lis.bin") indiren premium fishpig eklentilerindeki lisansları doğrulayan bir dosya olan lisans.php'e enjekte etti.
İkili, geçmişte 'Syslogk' Linux rootkit tarafından bırakıldığı görülen bir uzaktan erişim Truva atı (sıçan) olan Rekoobe'dir.
Bellekten başlatılırken, Rekoobe yapılandırmasını yükler, tüm kötü amaçlı dosyaları kaldırır ve keşfini daha zor hale getirmek için bir sistem hizmetinin adını varsayar.
Sonunda, Rekoobe uykuda yatar ve 46.183.217.2'de bulunan araştırmacıların SANS'lı bir komut ve kontrol (C2) sunucusundan komutlar bekler.
Sansec, ihlalin arkasındaki tehdit aktörlerinin, tehlikeye atılan e -ticaret mağazalarına erişim satmayı planladığını öne süren herhangi bir eylem görmedi.
19 Ağustos 2022'den önce Premium Fishpig yazılımını kurmuş veya güncelleyen tüccarlar mağazalarını tehlikeye atmalı ve aşağıdaki eylemleri yapmalıdır:
BleepingComputer'ın yorum talebine yanıt veren Fishpig, saldırının etkisini araştırdıklarını söyledi. Şirket, tüm Fishpig modüllerinin yükseltilmesini öneren bir güvenlik danışmanlığı yayınladı.
Ayrıca, Fishpig sözcüsü aşağıdakileri BleepingComputer ile paylaştı:
Dakikasyondaki insanlar için en iyi tavsiye, tüm FishPig modüllerini yeniden yüklemektir. En son sürüme güncellemeleri gerekmez (yapabilse de), ancak sadece aynı sürümü yeniden yüklemek, herhangi bir enfekte kodun FishPig'den kaldırıldığı için temiz kodlara sahip olmalarını sağlayacaktır.
Enfeksiyon, ayrı lisansımızdaki gizleme kodumuzdaki tek bir dosya ile sınırlıydı. Fishpig.co.uk etkilenmedi.
İnsanların karşılaştığı rahatsızlıktan dolayı özür dilerim. Bu son derece zeki ve hedefli bir saldırıydı ve gelecekte daha uyanık olacağız.
Android Emulator Tedarik Zinciri Saldırısı, Oyuncuları Kötü Yazılımla Hedefliyor
Kötü amaçlı yazılım geliştirme, maruz kaldıktan sonra coderat coderat
Hacker, Küba fidye yazılımı saldırılarında yeni sıçan kötü amaçlı yazılım kullanıyor
Rus organizasyonları New Woody Rat Kötü Yazılımlarla Saldırdı
Yeni 'Lightning Framework' Linux kötü amaçlı yazılım, rootkits, backroors yükler
Kaynak: Bleeping Computer