Un ataque generalizado a la cadena de suministro ha comprometido cientos de sitios de comercio electrónico, impactando potencialmente a millones de visitantes. El ataque involucró malware inyectado en software de al menos tres proveedores: Tigren, Magesolution (MGS) y Meetanshi, que suministran extensiones para Magento, una popular plataforma de comercio electrónico de código abierto. Esto permite a los atacantes robar datos confidenciales, incluida la información de tarjetas de pago, directamente de los navegadores de los visitantes.

Cientos de sitios de comercio electrónico se han visto comprometidos en un sofisticado ataque a la cadena de suministro, exponiendo a los visitantes al riesgo de que se les robe la información de sus tarjetas de pago y otros datos confidenciales. Esta amplia brecha resalta la vulnerabilidad de las empresas en línea y el potencial de daños financieros y de reputación significativos.

El ataque aprovechó un compromiso de la cadena de suministro, apuntando a al menos tres proveedores de software que suministran software basado en la plataforma Magento. Esto significa que los atacantes no hackearon directamente sitios de comercio electrónico individuales. En cambio, se infiltraron en el software utilizado por estos sitios, lo que les permitió comprometer a un gran número de empresas simultáneamente. Como señalaron los investigadores de seguridad de Sansec, el software comprometido fue utilizado por al menos 500 sitios de comercio electrónico, con el potencial de que el número real sea el doble.

El malware involucrado en este ataque permaneció inactivo durante un período prolongado, solo se activó en las últimas semanas. Esto sugiere una operación cuidadosamente planificada y ejecutada, diseñada para evadir la detección y maximizar su impacto. Los atacantes esperaron estratégicamente antes de implementar su código malicioso, aumentando la probabilidad de éxito.

El objetivo principal de los atacantes era ejecutar código malicioso dentro de los navegadores de los visitantes de los sitios de comercio electrónico infectados. Esto se logra a través de una puerta trasera que permite cargar y ejecutar código PHP arbitrario. Como explicó un representante de Sansec, esto les da a los atacantes “ejecución remota de código (RCE) completa y pueden hacer esencialmente lo que quieran”.

Las consecuencias de esta ejecución de código son graves. Los atacantes pueden inyectar software de skimming, a menudo denominado Magecart, que se ejecuta en el navegador del usuario y roba información de pago. Esto incluye números de tarjetas de crédito, fechas de vencimiento y códigos de seguridad. Los datos robados pueden usarse para transacciones fraudulentas, causando pérdidas financieras significativas tanto para los consumidores como para las empresas.

Uno de los clientes comprometidos es una empresa multinacional de $40 mil millones, lo que demuestra la escala y el impacto del ataque. El hecho de que una organización grande y con buenos recursos se viera afectada subraya la sofisticación y la efectividad de los métodos de los atacantes. Sansec ha indicado que “la remediación global [en los clientes infectados] sigue siendo limitada”, lo que sugiere que el proceso de limpieza es complejo y continuo.

Los tres proveedores de software identificados como comprometidos son Tigren, Magesolution (MGS) y Meetanshi. Estos proveedores suministran software basado en Magento, una plataforma de comercio electrónico de código abierto. Un cuarto proveedor, Weltpixel, también es sospechoso de estar involucrado, con código similar encontrado en algunas de las tiendas de sus clientes. Sin embargo, aún no está claro si las tiendas o el propio Weltpixel fueron hackeados.

El ataque destaca la importancia de asegurar la cadena de suministro de software. Las empresas deben examinar cuidadosamente a sus proveedores de software e implementar medidas de seguridad sólidas para protegerse contra los ataques a la cadena de suministro. Esto incluye actualizar regularmente el software, monitorear la actividad sospechosa e implementar controles de acceso estrictos.

El incidente también subraya la necesidad de vigilancia por parte de los consumidores. Los usuarios deben tener cuidado al ingresar información de pago en sitios de comercio electrónico, especialmente si no están familiarizados con el sitio o si notan algún comportamiento inusual. También es esencial revisar periódicamente los estados de cuenta bancarios y de tarjetas de crédito para detectar transacciones no autorizadas.

Un ataque generalizado a la cadena de suministro ha comprometido cientos de sitios de comercio electrónico, incluyendo uno de una multinacional de $40 mil millones, mediante malware inyectado en software de proveedores como Tigren, Magesolution y Meetanshi. Esta puerta trasera permite a los atacantes robar información de pago y ejecutar código en los navegadores de los visitantes, con esfuerzos de remediación limitados. La magnitud de la brecha subraya la necesidad crítica de mejorar las medidas de seguridad y la vigilancia en la cadena de suministro de software de comercio electrónico.