Bilgisayar korsanları, 200.000’den fazla indirme sayılan Magento-WordPress entegrasyonlarının bir satıcısı olan FishPig’in birden fazla uzantısına kötü amaçlı yazılım enjekte etti.
Magento, elektronik mağazalar oluşturmak için kullanılan ve yılda on milyarlarca ABD doları değerinde mal satışını destekleyen popüler bir açık kaynaklı e-ticaret platformudur.
Saldırganlar, FishPig’in sunucu altyapısının kontrolünü ele geçirdi ve ürünleri kullanan web sitelerine erişim sağlamak için satıcının yazılımına, tedarik zinciri saldırısı olarak tanımlanan kötü amaçlı kod ekledi.
Güvenlik araştırmacıları Sanseke-Ticaret kötü amaçlı yazılım ve güvenlik açığı algılama hizmetleri sunan bir şirket olan ‘FishPig Magento Security Suite’ ve ‘FishPig WordPress Multisite’ güvenliğinin ihlal edildiğini onayladı.
Satıcının diğer ücretli uzantılarının da büyük olasılıkla güvenliğinin ihlal edildiğini söylüyorlar. Yine de GitHub’da barındırılan ücretsiz uzantılar temiz görünüyor.
kötü amaçlı yazılım
Bilgisayar korsanları, FishPig sunucularından (“license.fishpig.co.uk”) bir Linux ikili dosyası (“lic.bin”) indiren premium FishPig eklentilerindeki lisansları doğrulayan bir dosya olan License.php’ye kötü amaçlı kod enjekte etti.
İkili, geçmişte ‘ tarafından bırakıldığı görülen bir uzaktan erişim truva atı (RAT) olan Rekoobe’dir.sistem günlüğü‘ Linux kök seti.
Bellekten başlatıldığında, Rekoobe yapılandırmasını yükler, tüm kötü amaçlı dosyaları kaldırır ve keşfini zorlaştırmak için bir sistem hizmetinin adını alır.
Sonunda, Rekoobe uykuda kalır ve Sans araştırmacılarının 46.183.217.2’de bulduğu Letonya tabanlı bir komuta ve kontrol (C2) sunucusundan gelen komutları bekler.
Sansec, herhangi bir eylemin gerçekleştiğini görmedi ve bu da, ihlalin arkasındaki tehdit aktörlerinin, güvenliği ihlal edilmiş e-ticaret mağazalarına erişim satmayı planladığını gösteriyor.
Düzeltme eylemleri
19 Ağustos 2022’den önce premium FishPig yazılımını yükleyen veya güncelleyen satıcılar, mağazalarının güvenliğinin ihlal edildiğini düşünmeli ve aşağıdaki işlemleri yapmalıdır:
- Tüm Fishpig uzantılarını devre dışı bırakın
- Sunucu tarafı kötü amaçlı yazılım tarayıcısı çalıştırın
- Yetkisiz arka plan işlemlerini sonlandırmak için sunucuyu yeniden başlatın
- Giden bağlantıları engellemek için “/etc/hosts” dosyasına “127.0.0.1 license.fishpig.co.uk” ekleyin
BleepingComputer’dan gelen yorum talebine yanıt veren FishPig, izinsiz girişin etkisini araştırdıklarını söyledi. Şirket bir yayınladı güvenlik danışmanlığı tüm FishPig modüllerinin yükseltilmesini önermek.
Ek olarak, FishPig’in bir sözcüsü aşağıdakileri BleepingComputer ile paylaştı:
Şu anda insanlar için en iyi tavsiye, tüm FishPig modüllerini yeniden kurmaktır. En son sürüme güncelleme yapmalarına gerek yoktur (yapabilseler de), ancak yalnızca aynı sürümü yeniden yüklemek, FishPig’den virüslü herhangi bir kod kaldırıldığından temiz koda sahip olmalarını sağlayacaktır.
Bulaşma, ayrı lisansımızdaki gizleme kodumuzda tek bir dosyayla sınırlıydı ve bu dosya kaldırıldı ve gelecekteki saldırılara karşı koruma eklendi. FishPig.co.uk etkilenmedi.
İnsanların karşılaşmış olabileceği rahatsızlıklar için özür dileriz. Bu son derece zekice ve hedefe yönelik bir saldırıydı ve gelecekte daha dikkatli olacağız.