黑客在FishPig的多个扩展中注入了恶意软件,FishPig 是 Magento-WordPress 集成供应商,下载量超过 200000。
Magento是一个流行的开源电子商务平台,用于建立电子商店,每年支持价值数百亿美元的商品销售。黑客控制了FishPig服务器基础设施,并将恶意代码添加到供应商的软件中,以访问使用这些产品的网站,这被称为供应链攻击。
Sansec是一家提供电子商务恶意软件和漏洞检测服务的公司,其安全研究人员 已确认“FishPig Magento 安全套件”和“FishPig WordPress Multisite”遭到入侵。据其分析称,黑客将恶意代码注入 License.php,该文件用于验证高级 FishPig 插件中的许可证,该插件从 FishPig 的服务器(“license.fishpig.co.uk”)下载 Linux 二进制文件(“lic.bin”)。该二进制文件是 Rekoobe,一种远程访问木马 (RAT),过去曾被“ Syslogk ”Linux rootkit 删除。从内存启动时,Rekoobe 会加载其配置,删除所有恶意文件,并采用系统服务的名称以使其发现更加困难。
最终,Rekoobe 处于休眠状态,等待来自 Sans 研究人员位于 46.183.217.2 的基于拉脱维亚的命令和控制 (C2) 服务器的命令。
Sansec 没有看到任何行动,这表明违规背后的威胁行为者可能正计划出售对受感染电子商务商店的访问权限。[阅读原文]
(完)