Ataque a la cadena de Suministros de Magento compromete a Cientos de Tiendas Online

Escrito por / 22 de octubre de 2025 / Noticias Hacking y Seguridad Informática / Ciberataque, Malware

Un sofisticado ataque a la cadena de suministro ha comprometido entre 500 y 1.000 tiendas online que utilizan Magento, según reveló la firma de ciberseguridad Sansec.

El ataque involucró al menos 21 extensiones de terceros infectadas con puertas traseras que permanecieron inactivas desde 2019 y fueron activadas repentinamente en abril de 2025.

Los Datos del ataque

  • 21 extensiones infectadas con puertas traseras.
  • Malware insertado en 2019, activado en abril de 2025.
  • Tiendas afectadas: entre 500 y 1,000, incluyendo una multinacional de $40 mil millones.
  • Vendedores comprometidos: Tigren, Meetanshi y MGS.
  • ⚠️ Vectores de ataque: carga remota de código PHP, ejecución arbitraria, creación de cuentas admin.

Extensiones afectadas

Sansec identificó extensiones comprometidas de los siguientes proveedores:

Tigren

  • Ajaxsuite, Ajaxcart, Ajaxlogin, Ajaxcompare, Ajaxwishlist, MultiCOD

Meetanshi

  • ImageClean, CookieNotice, Flatshipping, FacebookChat, CurrencySwitcher, DeferJS

MGS

  • Lookbook, StoreLocator, Brand, GDPR, Portfolio, Popup, DeliveryTime, ProductTabs, Blog

Otras

  • Weltpixel GoogleTagManager (compromiso no confirmado del proveedor)

Cómo funciona la puerta trasera

Los atacantes añadieron código malicioso en archivos de licencia como License.php y LicenseApi.php.

El código revisa solicitudes HTTP que contengan parámetros especiales como requestKey y dataSign, y si coinciden con claves hardcoded, habilita funciones administrativas remotas como:

  • Subir archivos PHP maliciosos.
  • Ejecutar el código automáticamente usando include_once().
  • Cargar webshells para control completo del servidor.

En versiones anteriores no se requería autenticación; las recientes sí usan claves integradas.

Consecuencias potenciales

  • Robo de datos sensibles de clientes.
  • Inyección de skimmers para capturar tarjetas de crédito.
  • Creación oculta de usuarios administrador.
  • Carga de malware o redirecciones maliciosas.

Respuesta de los proveedores

  • MGS: No respondió a las alertas de Sansec.
  • Tigren: Niega haber sido comprometido y sigue distribuyendo extensiones infectadas.
  • Meetanshi: Reconoció una brecha en su servidor, pero no en sus extensiones.

Qué deben hacer los administradores de tiendas Magento

Sansec recomienda:

  • Realizar un escaneo completo del servidor buscando los indicadores de compromiso (IoC) compartidos.
  • Restaurar desde una copia de seguridad limpia anterior a abril 2025.
  • Eliminar inmediatamente cualquier extensión listada y evitar reinstalar desde los mismos proveedores hasta nuevo aviso.
  • Implementar restricciones de escritura en archivos críticos y monitorización de cambios en tiempo real.
Vistas: 2

🔥 LO MÁS VISTO DE ESTA CATEGORÍA