【埋伏 6 年才被發現】逾 500 家電商網站遭「供應鏈攻擊」,怎麼檢查是否被動手腳?
一場潛伏長達 6 年的供應鏈攻擊,近日在全球數百家電商網站中才被揭露。根據資安公司 Sansec 的調查,至少有 500 家線上商店感染了來自第三方軟體供應商的後門程式。這些惡意程式會在造訪者的瀏覽器中執行惡意代碼,藉此竊取信用卡資訊與其他敏感資料。
後門潛入 Magento 供應鏈,近期才「甦醒」
Sansec 在這起供應鏈攻擊事件中,發現了 21 個具有相同後門的應用程式,分屬三家 Magento 平台擴充功能開發商——Tigren、Magesolution(MGS)與 Meetanshi 的伺服器遭到入侵,攻擊者成功在他們的下載伺服器中植入了後門程式。(Magento 是一個開源電商平台,由 PHP 開發,廣泛用於建立線上購物網站,提供模組化架構,讓開發者可以自由修改功能、整合第三方工具或開發模組。)
令人震驚的是,這些後門程式埋伏了 6 年,最早可追溯至 2019 年甚至更早,但直到 2024 年 4 月才開始活動。在這段潛伏期間,已有數百家電子商務網站安裝了受感染的軟體,導致約 500 至 1,000 個網站遭到入侵,其中甚至包含一家市值 400 億美元的跨國企業所擁有的網站。
「供應鏈攻擊」堪稱最危險攻擊,可竊取敏感資料
Sansec 表示,這類駭客攻擊被稱為「供應鏈攻擊(Supply Chain Attack)」,是最嚴重的網路攻擊類型之一。由於攻擊者可透過後門上傳與執行 PHP 程式碼,便得以遠端執行任意程式,控制受感染的電商網站伺服器,並在消費者端瀏覽器中植入竊資碼(Magecart)進行資料攔截。
若未即時清除後門程式,訪客一旦開啟網站頁面,就有可能在毫無察覺的情況下,瀏覽器中被植入 JavaScript 竊資程式,進而洩漏信用卡號碼、CVV 驗證碼與其他個人資料。
目前 Sansec 確認的 21 組被植入後門的擴充功能,包含 Meetanshi 的 CookieNotice、CurrencySwitcher,MGS 的 Lookbook、Blog,Tigren 的 Ajaxcart、Ajaxwishlist 等常見功能模組。
另一家名為 Weltpixel 的軟體供應商,其銷售的某個版本也在部分客戶商店中被發現含有類似的惡意程式碼。不過,Sansec 目前尚未能確認是這些商店本身遭到入侵,還是 Weltpixel 的系統被駭。
如何檢查是否中招?程式碼中有「License」是關鍵
根據 Sansec 研究,這波供應鏈攻擊主要是透過一段隱藏於名為「License.php」或「LicenseApi.php」檔案中的後門程式發動。攻擊者設計了一個假的授權檢查的程式碼植入系統中,關鍵的惡意行為是透過 adminLoadLicense 函式呼叫 $licenseFile 變數來執行任意 PHP 檔案內容,讓攻擊者得以植入並執行更多惡意程式。早期版本甚至不需要驗證即可觸發,後期版本則透過固定密鑰配對機制作為開關。
Sansec 表示,任何依賴 Tigren、Magesolution、Meetanshi 軟體的電商網站,都應仔細檢查自己的平台是否遭到感染。最簡單辨識惡意程式碼的方法之一,Sansec 建議查看是否有一段程式碼會將命名為 $licenseFile 的檔案,當作為 PHP 程式執行,這可能就是攻擊者植入後門的跡象:
protected function adminLoadLicense($licenseFile)
{
// …
$data = include_once($licenseFile);
// …
}
這段後門程式碼會在接收到特定網路請求時檢查其中是否包含一組秘密金鑰,若驗證成功,擁有該金鑰的攻擊者便可在電商伺服器上遠端執行任意指令。
3 大第三方供應商被點名,Sansec 籲審慎使用
根據 Sansec,目前三家主要被點名的供應商回應不一:Meetanshi 雖承認伺服器遭駭,但聲稱他們的軟體沒有被竄改;Magesolution 尚未對外回應;Tigren 則否認遭駭,不過截至 4/30 後門版本仍可從其網站下載。Sansec 強烈建議使用這些供應商的軟體時保持高度警覺。
Sansec 表示,這類潛伏多年才啟動的後門程式相當罕見,目前仍持續追查其背後手法與原始感染途徑。伊雲谷董事長蔡佳宏向《TechOrange》分析這個事件時表示,「供應鏈攻擊是最難防守的!零信任的方式,可以有一些抵抗能力。」
【推薦閱讀】
◆ 小心來自「no-reply@google.com」的 email,它現在可能是駭客網路釣魚
*本文部分初稿由 AI 生成,經《TechOrange》編撰,資料來源:《Ars Technica》、Sansec、《techradar》,首圖來源:Unsplash。