Компания Extendware, создатель расширений для сайтов на базе CMS Magento, пострадала от атаки взломщиков. Злоумышленники внедрили скиммер на сайт организации и могли также заразить ее продукцию. Преступники присутствовали в инфраструктуре Extendware с 4 октября.
Вредоносный скрипт представляет собой стандартный кейлоггер. Он копирует платежные данные пользователей и отправляет их на стороннюю веб-площадку. Аналитики полагают, что пунктом назначения служит еще один взломанный сайт.
Эксперты обнаружили скиммер на сайте Extendware, однако предупреждают, что могла иметь место атака на цепочку поставок. Возможность записывать данные на сервер Extendware позволяет преступникам скомпрометировать хранящиеся там дистрибутивы, внедрив вредоносный код и в них. А это значит, что в опасности все торговые площадки, использующие расширения этого поставщика.
Специалисты сообщили об инциденте разработчикам Extendware и поинтересовались, не повлиял ли он на целостность размещенного на сервере ПО. На момент написания статьи компания не опубликовала заявления на этот счет — последняя запись в новостной ленте датируется 12 сентября, в Facebook и Twitter — 1 октября. Эксперты рекомендуют клиентам Extendware не устанавливать расширения, загруженные за последнюю неделю, и выпущенные в этот период обновления.
О взломе Extendware стало известно вскоре после того, как ИБ-эксперты представили подробное исследование кибератак на сайты Magento. Помимо прочего, специалисты отметили растущий интерес преступников к цепочкам поставок, которые позволяют им значительно увеличить охват.
В конце 2018 года аналитики Kaspersky поместили подобные атаки в список главных угроз ближайшего времени. Этот прогноз быстро подтвердился — за последнее время преступники скомпрометировали репозиторий расширений и приложений PHP, официальный сервис обновления ASUS, а также несколько компаний из игровой индустрии.
Источник: https://threatpost.ru/magento-extensions-developer-extendware-compromised/34396/