Um ataque de injeção maciça de iFrame comprometeu por malware cerca de 100 mil páginas de sites de comércio eletrônico baseados em software open source "OS Commerce", na semana passana. O alerta é da empresa de segurança Armorize.

A origem do ataque foi identificada como sendo a Ucrânia. Os sites seriam comprometidos com o malware, que depois seria utilizado para atacar seus visitantes. Segundo o CTO da Armorize Wayne Huang, embora este tipo de crime não seja incomum na internet, a ofensiva chama a atenção por tratar-se de um tipo de injeção maciça e, aparentemente, uma reminiscência de ataques realizados com grande frequência há cerca de três anos, mas hoje pouco habituais.

Para Huang, os atacantes “podem ter aproveitado uma vulnerabilidade conhecida” no software open-source. Ele lembra que o OS open source Commerce é uma fundação popular para sites de comércio electrónico, a qual recebe mais tarde um aspecto diferente através de várias adições, geralmente vendidas. O CTO avalia que alguns destes suplementos têm dados de configuração integrados diretamente no código fonte, tornando as atualizações difíceis.

O grupo de suporte ao OS Commerce diz ter 249.500 proprietários de lojas online como utilizadores do seu software Merchant Online – disponível gratuitamente sob a GNU General Public License. Mas a comunidade não se manifestou.