Nel maggio 2025 è emersa una delle più gravi minacce informatiche degli ultimi anni contro il mondo dell’e-commerce: una backdoor nascosta per sei anni all’interno di 21 estensioni Magento, utilizzata dagli attaccanti per accedere e compromettere oltre 1000 negozi online. Questa operazione, sofisticata e silenziosa, rappresenta una svolta nel panorama delle minacce digitali moderne, spostando l’attenzione dai singoli attacchi diretti verso la vulnerabilità, spesso sottovalutata, della catena di fornitura software.
Come è avvenuto l’attacco: cronologia e dettagli tecnici
L’infiltrazione nella supply chain
Secondo le analisi di Sansec, il punto di partenza di questa campagna è stato un attacco coordinato contro più vendor di estensioni Magento, tra cui Tigren, Meetanshi e MGS (Magesolution). In totale, sono state infettate 21 estensioni diverse. Una delle più note coinvolte è Weltpixel GoogleTagManager, anche se non è stato possibile determinare con certezza se la compromissione sia avvenuta presso il fornitore o direttamente sui siti dei clienti.
La tecnica della backdoor
Il meccanismo di compromissione ha previsto l’inserimento di una backdoor PHP all’interno dei file di verifica della licenza delle estensioni (License.php o LicenseApi.php). Questo codice malevolo era studiato per restare nascosto: validava solo precise richieste HTTP contenenti i parametri “requestKey” e “dataSign”, e solo in presenza di specifiche chiavi hardcoded, eseguiva codice arbitrario e forniva agli hacker il pieno controllo sui server e-commerce.
L’attivazione dopo sei anni
L’aspetto più preoccupante non è solo la pervasività, ma la tempistica: la backdoor, introdotta per la prima volta nel 2019, è rimasta dormiente fino all’aprile 2025. Solo in quel momento è stata attivata, permettendo agli attaccanti di lanciare una vasta campagna di furto dati, indirizzata in particolare alle informazioni delle carte di pagamento e ad altri dati sensibili dei clienti.
Quali sono stati gli impatti
Portata dell’attacco
Si stima che tra i 500 e i 1000 siti e-commerce siano stati compromessi in tutto il mondo, inclusi clienti di multinazionali con fatturati di decine di miliardi di dollari.
Per molti esercenti digitali, la scoperta ha rappresentato uno shock: non si trattava di una minaccia nuova o di una vulnerabilità sfruttata nell’immediato, ma di un codice malevolo nascosto nei meandri di componenti ritenuti affidabili e parte integrante della loro infrastruttura.
Danni economici e reputazionali
Il furto di dati di pagamento e personali ha comportato danni economici diretti per i clienti e per le aziende coinvolte: costi di gestione delle frodi, cause legali, danni all’immagine e perdita di fiducia da parte degli utenti. La segretezza e la sofisticazione dell’attacco lo rendono uno dei casi più gravi nella storia recente della sicurezza informatica applicata all’e-commerce.
La lezione: vulnerabilità nella supply chain software
Questo attacco evidenzia come le moderne minacce informatiche non colpiscano più solo i punti di accesso esterni, ma sfruttino la fiducia riposta in fornitori terzi e nei software di terze parti. Le supply chain digitali sono spesso composte da una moltitudine di componenti, sviluppate e aggiornate da vendor diversi, ognuno dei quali rappresenta un potenziale punto di ingresso per gli attaccanti.
I rischi principali
- Difficoltà di monitorare ogni singolo aggiornamento o modifica nei componenti software adottati.
- Rilascio di patch da parte di vendor compromessi.
- Dipendenza da estensioni “di fiducia” che, però, possono essere infettate a monte della filiera.
Strategie e suggerimenti per la difesa
Prevenire e contenere rischi simili richiede una revisione radicale del proprio approccio alla sicurezza, soprattutto per chi gestisce piattaforme e-commerce o infrastrutture IT complesse.
1. Adozione di pratiche di sicurezza nella gestione della supply chain
- Effettuare audit regolari sulle estensioni e sui plugin utilizzati, verificando la provenienza e l’integrità del codice.
- Preferire fornitori di estensioni noti per solidità e trasparenza in tema di sicurezza.
- Richiedere ai vendor report dettagliati su eventuali incidenti di sicurezza e aggiornamenti critici.
2. Monitoraggio continuo e analisi comportamentale
- Implementare sistemi di monitoraggio avanzato che rilevino attività anomale lato server e nei processi di comunicazione dei plugin.
- Predisporre alert automatizzati per modifiche non autorizzate ai file principali delle estensioni.
- Utilizzare strumenti di file integrity monitoring per tracciare ogni cambiamento ai file sensibili.
3. Gestione degli aggiornamenti e delle patch
- Mantenere aggiornato tutto il software di base, le estensioni e i plugin, installando solo patch provenienti da canali ufficiali.
- Automatizzare, dove possibile, il download e il controllo di integrità delle release, ma sempre testandole in ambienti isolati prima del rilascio in produzione.
4. Hardening e segmentazione delle infrastrutture
- Isolare le componenti più critiche dei siti e-commerce dalle altre funzioni aziendali.
- Limitare i privilegi di scrittura e lettura degli utenti e delle applicazioni ai soli file strettamente necessari.
5. Formazione del personale e cultura della sicurezza
- Sensibilizzare costantemente tutti gli operatori IT sui rischi delle supply chain e sulle nuove minacce emergenti.
- Coinvolgere regolarmente team di sicurezza, sviluppatori e responsabili degli acquisti IT in simulazioni di incidenti e aggiornare i protocolli interni di risposta.
6. Collaborazione e condivisione delle informazioni
- Partecipare a community di settore e circuiti di condivisione di intelligence sulle minacce.
- Segnalare tempestivamente sospette anomalie rilevate nei plugin utilizzati, non affidandosi esclusivamente ai vendor ma condividendo con altri operatori le informazioni rilevanti.
Cosa fare se si sospetta una compromissione
Nel caso in cui si abbia il dubbio che uno dei propri plugin o estensioni sia stato compromesso, è importante:
- Scollegare immediatamente il sito dall’ambiente di produzione o mettere offline il sistema, per evitare ulteriori danni.
- Contattare un team di esperti in sicurezza per un’analisi forense e la bonifica dei sistemi infetti.
- Informare i clienti e preparare una comunicazione chiara e trasparente per gestire eventuali ripercussioni legali o reputazionali.
L’attacco alla supply chain che ha coinvolto le estensioni Magento rappresenta un campanello d’allarme per tutte le aziende che operano nel digitale. Non è più sufficiente affidarsi a firewall e protezioni di base: la sicurezza deve essere vista come un processo continuo, che coinvolge ogni aspetto del ciclo di vita del software, dalla selezione dei fornitori alla gestione degli aggiornamenti, fino alla formazione delle risorse umane.
La capacità di anticipare, rilevare e reagire rapidamente alle minacce emergenti sarà ciò che farà la differenza tra chi subisce danni gravi e chi riesce a proteggere clienti, reputazione e business nella lotta quotidiana contro il cybercrime.
