Μια σαρωτική εκστρατεία κυβερνοεπιθέσεων έχει θέσει σε κίνδυνο περισσότερους από 7.500 ιστότοπους ηλεκτρονικού εμπορίου που υποστηρίζονται από Magento από τα τέλη Φεβρουαρίου 2026, με τους εισβολείς να ανεβάζουν κρυφά κακόβουλα αρχεία σε δημόσια προσβάσιμους καταλόγους ιστού σε χιλιάδες τομείς.
Η επίθεση έχει εξαπλωθεί σε πάνω από 15.000 ονόματα κεντρικών υπολογιστών, επηρεάζοντας εμπορικές επωνυμίες, κυβερνητικούς φορείς, πανεπιστήμια και μη κερδοσκοπικούς οργανισμούς σε πολλές χώρες, καθιστώντας την μια από τις πιο εκτεταμένες καμπάνιες με επίκεντρο το Magento που έχουν παρατηρηθεί τα τελευταία χρόνια.
Το Magento είναι μια από τις πιο ευρέως διαδεδομένες πλατφόρμες ηλεκτρονικού εμπορίου στον κόσμο, τροφοδοτώντας τα πάντα, από μικρά ανεξάρτητα καταστήματα έως μεγάλες βιτρίνες επιχειρήσεων.
Η ευρεία υιοθέτησή του το καθιστά ιδιαίτερα ελκυστικό στόχο για επιτιθέμενους που θέλουν να παραβιάσουν πολλούς ιστότοπους ταυτόχρονα με ελάχιστη προσπάθεια.
Μόλις ανακαλυφθεί μια αξιόπιστη μέθοδος εκμετάλλευσης, οι φορείς απειλών μπορούν να την κλιμακώσουν γρήγορα — αυτό ακριβώς συνέβη εδώ, με χιλιάδες μοναδικούς τομείς να πέφτουν θύματα μέσα σε λίγες μόνο εβδομάδες μετά την έναρξη της εκστρατείας.
Οι ερευνητές του Netcraft προσδιόρισαν την πρώτη δραστηριότητα της εκστρατείας στις 27 Φεβρουαρίου 2026 και συνεχίζουν να παρακολουθούν την ανάπτυξή της από τότε.
Μεταξύ των πιο αξιοσημείωτων θυμάτων είναι διεθνώς αναγνωρισμένοι οργανισμοί όπως η Toyota, η Fiat, η Citroën, η Asus, η Diesel, η Fila, η Bandai, η FedEx, η BenQ, η Yamaha και η Lindt.
.webp.png)
Ενώ οι περισσότεροι συμβιβασμοί αφορούσαν υποτομείς, περιβάλλοντα σκηνοθεσίας ή τοπικές βιτρίνες αντί για βασικά συστήματα παραγωγής, ορισμένοι ιστότοποι που αντιμετωπίζουν πελάτες σε πραγματικό χρόνο επηρεάστηκαν για λίγο πριν ξεκινήσουν οι προσπάθειες αποκατάστασης.
.webp.jpeg)
Η απήχηση της καμπάνιας επεκτάθηκε πολύ πέρα από τον εμπορικό κόσμο. Οι ερευνητές εντόπισαν επίσης παραμορφώσεις σε τομείς υπηρεσιών περιφερειακής κυβέρνησης, ιστότοπους πανεπιστημίων στη Λατινική Αμερική και Κατάρ, σε διεθνείς μη κερδοσκοπικές υποδομές και σε αρκετούς τομείς που σχετίζονται με τον Οργανισμό Trump – συμπεριλαμβανομένων των trumpstore.com, trumphotels.com και booktrump.com.
Παρά τη φύση υψηλού προφίλ ορισμένων από αυτά τα ονόματα, τα στοιχεία δείχνουν ότι αυτοί οι ιστότοποι δεν επιλέχθηκαν σκόπιμα. Απλώς πιάστηκαν σε μια ευρεία, αδιάκριτη σάρωση που στόχευε την ευάλωτη υποδομή του Magento οπουδήποτε μπορούσε να βρεθεί.
.webp.png)
Οι περισσότερες από τις παραμορφωμένες σελίδες περιείχαν απλά αρχεία κειμένου που εμφανίζουν τις λαβές του εισβολέα — L4663R666H05T, Simsimi, Brokenpipe και Typical Idiot Security — μαζί με μηνύματα «greetz», μια κοινή πρακτική στην κοινότητα του defacement, όπου οι επιτιθέμενοι κατονομάζουν τους συνεργάτες και τους συμμάχους τους.
Ένα μικρότερο σύνολο παραποιήσεων, που εμφανίστηκε μόλις στις 7 Μαρτίου 2026, περιελάμβανε γεωπολιτικά μηνύματα. Οι αναλυτές κατέληξαν στο συμπέρασμα ότι αυτό το σύντομο ξέσπασμα πολιτικού περιεχομένου δεν ήταν το βασικό κίνητρο της εκστρατείας, αλλά μάλλον μια μεμονωμένη εμφάνιση που έπεφτε έξω από το κανονικό πρότυπο δραστηριότητας.
Πώς μπήκαν οι εισβολείς: Το ελάττωμα μεταφόρτωσης αρχείων
Η επίθεση φαίνεται να εξαρτάται από μια ευπάθεια μεταφόρτωσης αρχείων χωρίς έλεγχο ταυτότητας που επηρεάζει ορισμένα περιβάλλοντα Magento.
Αυτός ο τύπος ελαττώματος είναι επικίνδυνος επειδή επιτρέπει σε έναν εισβολέα να γράψει αρχεία απευθείας σε έναν διακομιστή ιστού χωρίς να διατηρεί νόμιμα διαπιστευτήρια λογαριασμού. Χωρίς σύνδεση, χωρίς κωδικό πρόσβασης — απλώς μια άμεση διαδρομή για την κατάθεση αρχείων όπου το επιτρέπει η ευπάθεια.
Οι ερευνητές του Netcraft επιβεβαίωσαν αυτή τη συμπεριφορά ανεβάζοντας με επιτυχία ένα αρχείο .txt σε μια δοκιμαστική παρουσία του Magento που εκτελεί το Magento Community 2.4.9-beta1, την πιο πρόσφατη διαθέσιμη έκδοση της πλατφόρμας κατά τη δημοσίευση.
.webp.jpeg)
Αυτό το εύρημα έδειξε ότι ακόμη και οι πρόσφατα ενημερωμένες εγκαταστάσεις Magento ενδέχεται να παραμείνουν εκτεθειμένες σε ορισμένες διαμορφώσεις διακομιστή. Το πεδίο ευπάθειας καλύπτει το Magento Open Source, το Magento Enterprise, το Adobe Commerce και το Adobe Commerce με τη λειτουργική μονάδα B2B.
Ενώ η Adobe κυκλοφόρησε ένα ενημερωτικό δελτίο ασφαλείας για πολλές ευπάθειες του Adobe Commerce αυτήν την περίοδο, η συγκεκριμένη συμπεριφορά που παρατηρείται σε αυτήν την καμπάνια δεν φαίνεται να ταιριάζει άμεσα με αυτές τις δημοσιευμένες διορθώσεις.
Οι αναλυτές σημείωσαν επίσης ότι αυτή η καμπάνια έχει κοινές ομοιότητες με την ευπάθεια SessionReaper Magento από τον Οκτώβριο του 2025, η οποία περιλάμβανε επίσης μη εξουσιοδοτημένη πρόσβαση σε αρχεία.
Πολλές παραβιασμένες σελίδες αναφέρθηκαν μόνοι τους στο Zone-H, ένα δημόσιο αρχείο παραβίασης, από τη λαβή ειδοποιητή “Typical Idiot Security” — το ίδιο ψευδώνυμο που βρέθηκε ενσωματωμένο στο ίδιο το περιεχόμενο παραβίασης, υποδεικνύοντας έναν ηθοποιό που τεκμηριώνει σκόπιμα τη δική του δραστηριότητα για να κερδίσει θέση στην κοινότητα παραμόρφωσης.
Συνιστάται στους οργανισμούς που εκτελούν υποδομή που βασίζεται στο Magento να ελέγχουν αμέσως όλα τα εκτεθειμένα τελικά σημεία μεταφόρτωσης αρχείων, να εφαρμόζουν τις διαθέσιμες ενημερώσεις ασφαλείας του Adobe Commerce χωρίς καθυστέρηση, να παρακολουθούν ενεργά τους καταλόγους ιστού για μη εξουσιοδοτημένες προσθήκες αρχείων και να διερευνούν διεξοδικά τυχόν απροσδόκητα αρχεία που βρίσκονται σε δημόσια προσβάσιμες διαδρομές διακομιστή.
Δεδομένου ότι οι νέοι παραβιασμένοι ιστότοποι εξακολουθούσαν να εμφανίζονται τη στιγμή της σύνταξης, η άμεση δράση είναι απαραίτητη.
