Une attaque sophistiquée ciblant les chaînes d’approvisionnement a compromis des centaines de sites e-commerce, exécutant du code malveillant sur les appareils des visiteurs pour voler des informations sensibles. Découvrez les détails de cette menace persistante et comment protéger votre entreprise.
Une menace persistante pour le commerce en ligne
Des centaines de sites e-commerce, dont certains appartiennent à de grandes multinationales, ont été infectés par un malware capable d’exécuter du code malveillant dans les navigateurs des visiteurs. Cette attaque, active depuis avril, permet aux pirates de voler des informations de paiement et d’autres données sensibles.
L’attaque par la chaîne d’approvisionnement
L’infection résulte d’une attaque de chaîne d’approvisionnement ayant compromis au moins trois fournisseurs de logiciels. Le malware, dormant pendant six ans, s’est réveillé ces dernières semaines, affectant plus de 500 sites. Un représentant de Sansec a mentionné que les efforts de remédiation mondiale restent limités.
Exécution de code sur les machines des visiteurs
Cette attaque représente un risque majeur pour les visiteurs des sites infectés, permettant aux pirates d’exécuter du code à distance sur les serveurs des sites e-commerce. Ce code malveillant vise ensuite à voler les informations de paiement directement depuis les navigateurs des utilisateurs.
Les fournisseurs concernés
Les logiciels de Tigren, Magesolution, et Meetanshi, basés sur Magento, ont été identifiés comme vecteurs de l’attaque. Certains clients de Weltpixel sont également touchés, bien que l’origine de l’infection reste incertaine. Adobe, propriétaire de Magento depuis 2018, est également concerné.
Comment détecter l’infection
Les administrateurs de sites utilisant les logiciels des fournisseurs mentionnés doivent vérifier la présence de code malveillant, notamment une fonction exécutant un fichier nommé $licenseFile. Sansec fournit des détails supplémentaires pour aider à identifier les infections.
Extensions infectées
Sansec a listé 21 extensions compromises, réparties entre Tigren, Meetanshi, et MGS. Parmi elles, des outils populaires comme Ajaxcart, CookieNotice, et StoreLocator.
Un mystère à élucider
L’un des plus grands mystères reste la capacité du malware à rester dormant et indétecté pendant six ans avant de s’activer. Sansec poursuit ses investigations pour comprendre ce phénomène rare.
