E-ticaret dünyasının bel kemiği olarak bilinen Magento platformu, şimdiye dek birçok küçük ve büyük markanın tercihiydi. Ancak görünen o ki, platforma entegre edilen bazı üçüncü taraf eklentiler, yalnızca mağazaları güzelleştirmiyor; arka planda siber korsanlara hizmet eden birer casus haline de gelebiliyor.
Siber güvenlik şirketi Sansec, gerçekleştirdiği detaylı analizle bir dijital felaketi gün yüzüne çıkardı. Araştırmaya göre, Magento tabanlı sitelere entegre edilen 21 farklı eklentiye gizlice yerleştirilen zararlı kodlar, 2025 Nisan ayında aktif hale geldi. Bu tarihte başlayan saldırılarla birlikte 500 ila 1.000 arasında e-ticaret sitesi tehlikeye girdi. Etkilenenler arasında, piyasa değeri 40 milyar doları aşan çok uluslu bir şirketin de olduğu belirtildi.
Gözden Kaçan Kodlar, Tam Yetki Sağlayan Tuşlar
Sansec’in teknik raporunda yer alan detaylar oldukça çarpıcı. Zararlı yazılımlar genellikle License.php ya da LicenseApi.php gibi sıradan görünen dosyalara gizlenmişti. Bu kodlar, yalnızca belirli HTTP istekleriyle tetikleniyor ve sunucu üzerinde tam yetki sağlıyordu.
Peki bu yetkilerle ne yapılabiliyordu?
-
Sunucuya kötü amaçlı yazılım yüklenebiliyor,
-
Yeni yönetici hesapları oluşturulabiliyor,
-
En tehlikelisi de: müşteri verileri çalınabiliyordu.
Söz konusu saldırılar, hem kullanıcı gizliliğini hem de şirket itibarını zedeleyen çok ciddi sonuçlar doğurdu.
Hangi Geliştiriciler Hedefte?
Sansec'in açıklamasına göre arka kapılar, üç büyük geliştirici tarafından sunulan eklentilerde tespit edildi:
Tigren: Ajaxsuite, Ajaxcart, Ajaxlogin, Ajaxcompare, Ajaxwishlist, MultiCOD
Meetanshi: ImageClean, CookieNotice, Flatshipping, FacebookChat, CurrencySwitcher, DeferJS
MGS: Lookbook, StoreLocator, Brand, GDPR, Portfolio, Popup, DeliveryTime, ProductTabs, Blog
Bunlara ek olarak Weltpixel tarafından geliştirilen GoogleTagManager eklentisinde de benzer bir arka kapı bulunduğu bildirildi. Ancak bu durumun geliştirici kaynaklı olup olmadığı hâlâ netleşmiş değil.
Tepkiler Ne Oldu?
Sansec, vakit kaybetmeden eklenti geliştiricileriyle iletişime geçti. Ancak yanıtlar beklendiği kadar şeffaf olmadı.
-
MGS, hiçbir şekilde geri dönüş yapmadı.
-
Tigren, herhangi bir ihlal olmadığını savundu ve tehlikeli eklentileri dağıtmaya devam etti.
-
Meetanshi, sunucularının ihlal edildiğini kabul etti fakat eklentilerin tehlikeye atıldığını doğrulamadı.
Tüm bu belirsizlikler içinde, bağımsız güvenlik kaynaklarından BleepingComputer, MGS'nin StoreLocator eklentisinde gerçekten de Sansec’in belirttiği arka kapının yer aldığını doğruladı. Bu gelişme, olayın ciddiyetini bir kez daha gözler önüne serdi.
Altı Yıl Bekleyen Tuzak: Hackerların Uzun Vadeli Planı
Bu saldırı, yalnızca teknik bir ihlali değil, aynı zamanda zamanlaması kusursuz bir siber operasyonu temsil ediyor. Kodlar, 2019’dan bu yana sistemlerde pasif halde bekliyordu. Herhangi bir anormal durum yaratmadan çalışan eklentiler, 2025 yılı Nisan ayında, tek bir komutla harekete geçti.
Uzmanlara göre bu durum, hackerların sistemi yıllarca izlediğini, veri topladığını ve saldırı için en uygun anı beklediğini gösteriyor.
Ne Yapmalı? Sansec'ten Uyarı ve Öneriler
Sansec, Magento kullanıcılarına şu kritik uyarılarda bulundu:
-
Eklenti kullanan tüm e-ticaret siteleri acil olarak kapsamlı bir sunucu taraması yapmalı,
-
Mümkünse sistemlerini temiz bir yedekten geri yüklemeli,
-
Güvenilmeyen geliştiricilerden gelen eklentileri derhal kaldırmalı.
Bu gelişmeler, dijital ticaretin büyüyen yapısında siber güvenliğin ne kadar kritik bir unsur olduğunu bir kez daha hatırlatıyor. Artık sadece satışlar değil, veri güvenliği de markaların dijital başarısı için vazgeçilmez hale geldi.