黑客在 FishPig 的多个扩展中注入了恶意软件,FishPig 是 Magento-WordPress 集成供应商,下载量超过 200,000。
Magento 是一个流行的开源电子商务平台,用于建立电子商店,每年支持价值数百亿美元的商品销售。
入侵者控制了 FishPig 的服务器基础设施,并将恶意代码添加到供应商的软件中,以访问使用这些产品的网站,这被称为供应链攻击。
Sansec是一家提供电子商务恶意软件和漏洞检测服务的公司,其安全研究人员 已确认“FishPig Magento 安全套件”和“FishPig WordPress Multisite”遭到入侵。
他们说,供应商的其他付费扩展也可能受到损害。不过,托管在 GitHub 上的免费扩展似乎很干净。
恶意软件
黑客将恶意代码注入 License.php,该文件用于验证高级 FishPig 插件中的许可证,该插件从 FishPig 的服务器(“license.fishpig.co.uk”)下载 Linux 二进制文件(“lic.bin”)。
该二进制文件是 Rekoobe,一种远程访问木马 (RAT),过去曾被“ Syslogk ”Linux rootkit 删除。
从内存启动时,Rekoobe 会加载其配置,删除所有恶意文件,并采用系统服务的名称以使其发现更加困难。
进程 Rekoobe 模仿
(Sancec)
最终,Rekoobe 处于休眠状态,等待来自 Sans 研究人员位于 46.183.217.2 的基于拉脱维亚的命令和控制 (C2) 服务器的命令。
Sansec 没有看到任何行动,这表明违规背后的威胁行为者可能正计划出售对受感染电子商务商店的访问权限。
补救措施
在 2022 年 8 月 19 日之前安装或更新高级 FishPig 软件的商户应考虑其商店受到损害并采取以下措施:
禁用所有 Fishpig 扩展
运行服务器端恶意软件扫描程序
重新启动服务器以终止任何未经授权的后台进程
将“127.0.0.1 license.fishpig.co.uk”添加到“/etc/hosts”以阻止传出连接
在回应ZZQIDC的评论请求时,FishPig 表示他们正在调查入侵的影响。该公司已发布安全公告, 建议升级所有 FishPig 模块。
此外,FishPig 的发言人与ZZQIDC分享了以下内容:
目前对人们的最佳建议是重新安装所有 FishPig 模块。他们不需要更新到最新版本(尽管他们可以),但只需重新安装相同的版本即可确保他们拥有干净的代码,因为任何受感染的代码都已从 FishPig 中删除。
感染仅限于我们单独的 license.fishpig.co.uk 上的混淆代码中的单个文件,该文件已被删除,并添加了针对未来攻击的保护。FishPig.co.uk 没有受到影响。
对于人们可能面临的任何不便,我们深表歉意。这是一次非常聪明和有针对性的攻击,我们将来会更加警惕。
