О взломе сообщила британская компания FishPig, занимающаяся разработкой e-commerce решений (в основном для интеграций Magento-WordPress), которые в общей сложности загружены более 200 000 раз. Неизвестные внедрили в продукты компании бэкдор Rekoobe, чтобы атаковать клиентов.
Эксперты компании Sansec детально описали атаку в своем отчете. По их данным, неизвестные злоумышленники получили контроль над серверной инфраструктурой FishPig и добавили вредоносный код в ПО компании. Исследователи подтверждают компрометацию таких продуктов, как FishPig Magento Security Suite и FishPig WordPress Multisite, и предупреждают, что другие платные расширения, вероятно, тоже взломаны. Бесплатные инструменты, размещенные компанией на GitHub, эта атака, похоже, не затронула.
По информации экспертов, хакеры внедрили вредоносный код в файл License.php, который отвечает за проверку лицензии в премиум-плагинах FishPig. Этот код загружал бинарный файл lic.bin с серверов FishPig (license.fishpig.co.uk).
Бинарник представляет собой малварь семейства Rekoobe. Ранее этот троян удаленного доступа (RAT) распространялся в связке с Linux-руткитом Syslogk. В рамках атаки на FishPig, вредонос маскируется под безобидный SMTP-сервер и может активироваться с помощью скрытых команд, связанных с обработкой startTLS. После активации Rekoobe предоставляет хакерам реверс-шелл и позволяет им удаленно отдавать команды зараженному серверу.
Sansec пишет, что пока Rekoobe бездействует и ожидает команд от расположенного в Латвии управляющего сервера хакеров, который исследователи обнаружили по адресу 46.183.217[.]2. Предполагается, что стоящие за этой атакой злоумышленники, планировали продать доступ к скомпрометированным магазинам другим преступникам.
В итоге, все, кто устанавливал или обновлял премиальные продукты FishPig до 19 августа 2022 года, должны считать свои магазины скомпрометированными и немедленно предпринять следующие действия:
- отключить все расширения FishPig;
- запустить сканер вредоносных программ на стороне сервера;
- перезапустить сервер, чтобы завершить любые несанкционированные фоновые процессы;
- добавить 127.0.0.1 license.fishpig.co.uk в /etc/hosts, чтобы заблокировать малвари исходящие соединения.
Представители FishPig сообщили журналистам издания Bleeping Computer, что в настоящее время занимаются расследованием инцидента и изучают его последствия.
«Лучший совет на данный момент — переустановить все модули FishPig. Людям не нужно обновляться до последней версии (хотя они могут), так как простая переустановка той же версии гарантирует, что у них будет чистый код, поскольку весь зараженный код уже удален из FishPig.
Заражение ограничивалось обфусцированным кодом в одном файле нашей отдельной лицензии.fishpig.co.uk, и он уже удален, а мы добавили защиту от будущих атак. FishPig.co.uk не пострадал.
Приносим извинения за те неудобства, с которыми могли столкнуться пользователи. Это была чрезвычайно умная таргетированная атака, и в будущем мы будем более бдительными», — сообщили в компании.