专门锁定电子商务资讯安全领域的Sansec上周揭露，有骇客渗透了开源电子商务平台Magento的供应链，在这些供应链业者所提供的外挂程序中嵌入了后门，已波及数百家商店，包括一家价值400亿美元的跨国公司。Magento是个以PHP撰写的开源电子商务平台，在2018年以16.8亿美元卖给了Adobe，现为全球第三大电子商务平台，市占率约为8%，至于前两名的Shopify及WooCommerce都有超过20%的市占率。

除了核心的Magento开源平台外，Adobe打造了付费的Commerce版本，以提供代管、客户支援及其它客製化功能，其生态系统中还包括许多第三方的应用与扩充服务开发商，此次Sansec即发现，总计有21款来自3家公司的第三方扩充服务含有同样的后门，该后门伪装成授权检查机制，允许骇客得以在未经授权的情况下执行任意的PHP程序，窃取客户资料及支付资讯，植入信用卡窃取程序，建立未经授权的管理员帐户，或是持续控制受到感染的网站等。

特别的是，这些后门现身的时间点从2019年到2022年不等，最久的已存在6年的时间，却一直到今年4月才开始遭到积极滥用。

这21款被植入后门的应用程序来自3家Magento解决方案供应商Tigren、Magesolution与Meetanshi，Sansec说，这3家业者的服务器已被渗透，才使得骇客能够在它们的下载服务器上植入后门，估计全球至少有500家至1,000家商店正在执行含有后门的应用程序，像是Ajaxsuite、Ajaxcart、ImageClean、CurrencySwitcher、FacebookChat、Lookbook或StoreLocator等。

Sansec已知会上述受影响的业者，其中的Tigren否认遭到骇客攻击，而Meetanshi承认被骇客入侵，但否认软件被窜改。