Une attaque de la chaîne d’approvisionnement visant des extensions Magento a infecté au moins 500 sites de commerce électronique avec un logiciel malveillant qui dérobe activement des données sensibles aux visiteurs. L’attaque est toujours en cours et présente un risque tant pour les commerçants que pour les consommateurs.
Les chercheurs de Sansec ont découvert que l’attaque a affecté au moins trois fournisseurs de logiciels : Tigren, Magesolution (MGS) et Meetanshi. L’attaque a impliqué l’ajout de code malveillant à 21 extensions Magento populaires.
Il est à noter que dans certains cas, le logiciel malveillant a été introduit dès 2019, mais n’est devenu actif qu’en avril 2025, selon ArsTechnica. Le code a été placé via une porte dérobée cachée dans les extensions et exécute du code PHP sur les serveurs des sites de commerce électronique. Par la suite, un logiciel d’écrémage est installé dans les navigateurs des visiteurs pour dérober les données de paiement et d’autres informations sensibles.
lire aussi
CrowdStrike : « D’ici 2024, les cyberattaques seront plus rapides, plus intelligentes et plus souvent dépourvues de logiciels malveillants ».
Selon Sansec, une plateforme de commerce électronique d’une entreprise multinationale évaluée à 40 milliards de dollars a également été touchée, bien que le nom de l’entreprise n’ait pas été divulgué. Au total, entre 500 et 1 000 boutiques en ligne dans le monde auraient été infectées.
La distribution d’extensions infectées se poursuit
Le logiciel malveillant exploite une fonction PHP présente dans les scripts de contrôle de licence des extensions affectées. La fonction vérifie les requêtes HTTP spécifiques avec des paramètres secrets. Si ceux-ci sont corrects, les attaquants peuvent télécharger et exécuter leur propre code sur le serveur. Cela leur donne un accès complet au système et leur permet, par exemple, d’injecter des écrémeurs ou de créer des comptes administrateurs.
Sansec affirme que Tigren et Magesolution (MGS) continuent de distribuer des versions infectées de leurs logiciels. Meetanshi reconnaît une intrusion sur le serveur, mais nie que les extensions elles-mêmes aient été modifiées. Weltpixel est également mentionné, mais la source exacte de l’infection n’est pas encore claire pour eux.
| FOURNISSEUR | PAQUET |
| Tigren | Ajaxsuite |
| Tigren | Ajaxcart |
| Tigren | Ajaxlogin |
| Tigren | Ajaxcompare |
| Tigren | Ajaxwishlist |
| Tigren | MultiCOD |
| Meetanshi | ImageClean |
| Meetanshi | CookieNotice |
| Meetanshi | Flatshipping |
| Meetanshi | FacebookChat |
| Meetanshi | CurrencySwitcher |
| Meetanshi | DeferJS |
| MGS | Lookbook |
| MGS | StoreLocator |
| MGS | Brand |
| MGS | GDPR |
| MGS | Portefeuille |
| MGS | Popup |
| MGS | DeliveryTime |
| MGS | ProductTabs |
| MGS | Blog |
Il est conseillé aux administrateurs de boutiques en ligne dépendant des extensions de Tigren, MGS ou Meetanshi de vérifier minutieusement leurs systèmes à la recherche de traces de la porte dérobée. Sansec mentionne spécifiquement une fonction PHP où un fichier nommé $licenseFile est chargé comme indicateur de compromission.
La liste complète des extensions infectées peut être consultée ci-dessus. Sansec poursuit son enquête sur l’incident. Le plus remarquable : comment le logiciel malveillant a-t-il réussi à rester inaperçu pendant des années ? Lisez ici tous nos articles sur la sécurité sur ITdaily.