0
0
A FishPig, uma empresa sediada no Reino Unido que desenvolve extensões para a popular plataforma de comércio eletrônico de código aberto Magento, anunciou que suas ofertas de software pago foram injetadas com malware depois que seu servidor de distribuição foi comprometido.
Como os invasores comprometeram as extensões FishPig
Os pesquisadores da Sansec disseram que o servidor de distribuição FishPig foi comprometido em ou antes de 19 de agosto. “Qualquer loja Magento que instalou ou atualizou o software Fishpig pago desde então provavelmente está executando o malware Rekoobe”, observaram.
FishPig disse que o comprometimento pode ter acontecido a qualquer momento após 6 de agosto. Eles não disseram como os invasores conseguiram invadir o servidor – eles podem não ter certeza ainda, de qualquer forma – mas sabem que os invasores conseguiram injetar código PHP malicioso no arquivo Helper/License.php, que está incluído na maioria das extensões FishPig.
Ben Tideswell, desenvolvedor líder da FishPig, disse ao Ars Technica que os invasores aproveitaram seu sistema personalizado que criptografa o código das extensões antes de serem disponibilizadas para download, ocultando assim sua existência de usuários e scanners de malware.
O código malicioso injetado instala o trojan de acesso remoto Rekoobe que, ao ser lançado, remove todos os arquivos de malware e é executado na memória, explicaram os pesquisadores da Sansec. Em seguida, ele se esconde como um processo do sistema e aguarda os comandos de um servidor de controle na Letônia.
A única boa notícia relacionada a este ataque à cadeia de suprimentos do Magento é que não há evidências de que as instalações comprometidas tenham sido aproveitadas.
“Esperamos que o acesso às lojas afetadas possa ser vendido em massa em fóruns de hackers”, observaram os pesquisadores de ameaças da Sansec, e disseram que ainda precisam detectar abusos de acompanhamento por meio do servidor C2.
Remediação
O número de instalações afetadas é desconhecido.
O FishPig está pedindo aos usuários que assumam que todos os módulos pagos do FishPig Magento 2 foram infectados e os aconselha a atualizar todos os módulos do FishPig ou reinstalar as versões existentes da fonte.
Eles também forneceram um comando para remover o backdoor Rekoobe de seu sistema e uma ferramenta de teste para verificar se há infecção nos arquivos FishPig. “Atualmente, estamos oferecendo um serviço de limpeza gratuito para quem está preocupado que isso esteja afetando seu site e precise de ajuda para resolvê-lo”, acrescentaram .
Sansec aconselha os comerciantes afetados a desativar temporariamente qualquer extensão FishPig paga, executar um scanner de malware do lado do servidor para detectar o malware instalado e, finalmente, reiniciar o servidor para encerrar processos não autorizados em segundo plano.
FONTE: HELPNET SECURITY