Sucuciは9月15日(米国時間)、「Magento Supply Chain Attack Targets Extension Developer FishPig」において、eコマースプラットフォーム「Magent」向けの拡張機能である「FishPig」がサプライチェーン攻撃に見舞われ、配布ファイルに悪意のあるコードが混入されたと伝えた。攻撃は2022年8月6日以前に発生したと推定されており、この日以降にFishPigをインストールしたeコマースストアは、攻撃に対して脆弱な状態に陥っている可能性がある。

FishPigでは、2022年9月13日にセキュリティアナウンスメントをリリースし、同社が見舞われたサプライチェーン攻撃に関する詳細を明らかにしている。

  • FishPigによるサプライチェーン攻撃に関するアナウンス

    FishPigによるサプライチェーン攻撃に関するアナウンス

FishPigでは、FishPig.co.ukの拡張ライセンスシステムへの侵入の痕跡を検知して調査したところ、Helper/License.phpファイルに対して悪意のあるPHPコードが混入していることを発見したという。このファイルはほとんどのFishPig拡張機能に含まれているため、すべてのFishPig Magento 2モジュールが影響を受けていると想定することが推奨されている。

すでに悪意のあるコードは削除され、再発防止の措置が取られたとのことだが、侵害されたバージョンを適用してしまったWebサイトは、環境内のFishPigモジュールを再インストールするか最新バージョンにアップグレードする必要がある。その上で、サーバを再起動してメモリからバックドアを完全に削除することが重要だという。

FishPigからのアナウンスには、自分のシステムが侵害されているかどうかを確認する方法や、侵害された場合の対処方法などが詳しく解説されている。Sucuriでは、このようなサプライチェーン攻撃には通常のセキュリティ対策は効果がないため、非常時に備えてWebサイトのバックアップを適切かつ機能的に運用することを推奨している。