Une récente attaque de la chaîne d’approvisionnement, qui a persisté pendant six ans, a compromis plusieurs fournisseurs de logiciels e-commerce et infecté un grand nombre de sites. Des cybercriminels ont réussi à intégrer un accès non autorisé, mettant en danger des milliers d’entreprises, y compris une multinationale de 40 milliards d’euros.
Des attaques de la chaîne d’approvisionnement représentent l’une des menaces les plus graves pour les systèmes en ligne. Récemment, un groupe de cybercriminels a compromis au moins trois fournisseurs de logiciels e-commerce, infiltrant leurs produits avec un backdoor néfaste pendant plusieurs années. Selon la société de sécurité Sansec, ces attaques ont été détectées uniquement récemment.
Le backdoor a touché entre 500 et 1 000 sites e-commerce au total, incluant aussi bien de petites entreprises que de grandes multinationales. Sansec a noté qu’une entreprise de 40 milliards d’euros était parmi les victimes, sans en révéler l’identité.
Les fournisseurs touchés proposent des extensions pour Magento, la plateforme e-commerce open-source rachetée par Adobe. Les serveurs de Tigren, Magesolution et Meetanshi ont été mis à mal, permettant aux attaquants d’insérer des backdoors dans leurs systèmes de téléchargement.
Des analystes ont également repéré une version altérée de l’add-on Weltpixel GoogleTagManager. Cependant, il reste incertain si les systèmes de Weltpixel ont été directement affectés ou si seuls les sites marchands e-commerce des utilisateurs finaux ont été impactés.
Après avoir réussi à compromettre les serveurs des fournisseurs, les cybercriminels ont eu accès aux clients de ceux-ci, ce qui a également permis l’accès à tous les utilisateurs finaux se rendant sur les sites e-commerce affectés. Une fois activé, le backdoor a exécuté son payload malveillant dans les navigateurs des utilisateurs, subtilisant ainsi des informations de paiement, rappelant une attaque typique de Magecart.
Sansec a publié des instructions pour aider les opérateurs de sites à déterminer si leurs plateformes e-commerce ont été compromises par cette nouvelle campagne. Un indicateur crucial est une fonction PHP qui tente de charger un fichier nommé « $licenseFile », déclenchant une chaîne d’exécution menant à l’injection de code PHP malveillant.
Sansec a tenté de prévenir les fournisseurs d’add-ons touchés. Malgré les alertes, Tigren et Magesolution ont continué à distribuer des versions compromises de leurs outils. Meetanshi a reconnu la violation, mais aucune des entreprises n’a donné de commentaires supplémentaires ni répondu aux questions de suivi. Comportement qui, selon Sansec, n’est pas rassurant pour des fournisseurs prétendant offrir des solutions pour « aider les sites marchands en ligne à réussir » dans le monde e-commerce compétitif.