Een supplychain-aanval op Magento-extensies heeft minstens 500 e-commercesites geïnfecteerd met malware die actief gevoelige gegevens steelt van bezoekers. De aanval blijft lopende en vormt een risico voor zowel handelaars als consumenten.
Onderzoekers van Sansec ontdekten dat de aanval minstens drie softwareleveranciers trof: Tigren, Magesolution (MGS) en Meetanshi. Bij de aanval werd kwaadaardige code toegevoegd aan 21 populaire Magento-extensies.
Opmerkelijk is dat de malware in sommige gevallen al in 2019 werd geïntroduceerd, maar pas in april 2025 actief werd volgens ArsTechnica. De code werd via een verborgen achterdeur in de extensies geplaatst en voert PHP-code uit op de servers van de e-commercesites. Vervolgens wordt skimmingsoftware geïnstalleerd in de browsers van bezoekers om betaalgegevens en andere gevoelige informatie te stelen.
lees ook
CrowdStrike: ‘Cyberaanvallen in 2024 sneller, slimmer en vaker zonder malware’
Volgens Sansec is ook een e-commerceplatform van een multinationaal bedrijf ter waarde van 40 miljard dollar getroffen, al wordt de naam van het bedrijf niet vrijgegeven. In totaal zouden tussen de 500 en 1.000 webshops wereldwijd besmet zijn.
Distributie van geïnfecteerde extensies loopt door
De malware maakt misbruik van een PHP-functie die voorkomt in licentiecontrolescripts van de getroffen extensies. De functie controleert op specifieke HTTP-verzoeken met geheime parameters. Indien deze correct zijn, kunnen aanvallers eigen code uploaden en uitvoeren op de server. Dit biedt hen volledige toegang tot het systeem en laat hen bijvoorbeeld skimmers injecteren of beheerdersaccounts aanmaken.
Sansec stelt dat Tigren en Magesolution (MGS) nog steeds besmette versies van hun software verspreiden. Meetanshi erkent een serverinbraak, maar ontkent dat de extensies zelf aangepast zijn. Weltpixel wordt eveneens genoemd, maar bij hen is de exacte bron van de besmetting nog onduidelijk.
| VENDOR | PACKAGE |
| Tigren | Ajaxsuite |
| Tigren | Ajaxcart |
| Tigren | Ajaxlogin |
| Tigren | Ajaxcompare |
| Tigren | Ajaxwishlist |
| Tigren | MultiCOD |
| Meetanshi | ImageClean |
| Meetanshi | CookieNotice |
| Meetanshi | Flatshipping |
| Meetanshi | FacebookChat |
| Meetanshi | CurrencySwitcher |
| Meetanshi | DeferJS |
| MGS | Lookbook |
| MGS | StoreLocator |
| MGS | Brand |
| MGS | GDPR |
| MGS | Portfolio |
| MGS | Popup |
| MGS | DeliveryTime |
| MGS | ProductTabs |
| MGS | Blog |
Beheerders van webshops die afhankelijk zijn van extensies van Tigren, MGS of Meetanshi worden geadviseerd om hun systemen grondig te controleren op sporen van de achterdeur. Sansec noemt specifiek een PHP-functie waarbij een bestand met de naam $licenseFile wordt ingeladen als indicator van compromittering.
De volledige lijst met besmette extensies kan je hierboven terugvinden. Sansec blijft het incident verder onderzoeken. Het meest bijzondere: hoe de malware erin slaagde om jarenlang onopgemerkt te blijven? Lees hier al onze security-stukken op ITdaily.