Sådan forvandler hackere din betalingsudbyder til en perfekt skjult kommandocentral

Sådan virker det tretrins Stripe-Magecart-angreb

Kampagnen kæder tre trin sammen, hvor hvert trin misbruger en legitim tjeneste for at undgå opdagelse .

Trin 1: Injektér loaderen gennem Google Tag Manager

Angriberne kompromitterer først en Google Tag Manager-beholder (GTM) på målbutikkens side. De indsætter et ondsindet GTM-tag, som indlæses på hver eneste side. Fordi scriptet stammer fra det betroede analysedomæne googletagmanager.com, omgår det typiske Content Security Policies (CSP) og ad-blockere uden at vække mistanke . GTM bliver dermed den ublokerbare leveringsmekanisme.

Trin 2: Hent skimmeren fra Stripes API

I stedet for at kontakte en suspekt tredjepartsserver, beder GTM-tagget om at få skimming-payloaden fra api.stripe.com. Angriberne gemmer hele JavaScript-skimmeren i et metadatafelt på en kunde i deres egen Stripe-konto og bruger en testmode-hemmelig nøgle (sk_test_...) til at skrive og hente den . Skimmeren ankommer altså fra et domæne, som butiksoperatører har implicit tillid til som en del af deres betalingsstack, så netværksovervågning og CSP-regler blokerer sjældent API-kaldet.

Trin 3: Eksfiltrér de stjålne data retur til den samme Stripe-konto

Når en kunde indtaster kreditkortoplysninger, personlig information og faktureringsadresser ved checkout, fanger den injicerede skimmer dataene og sender dem tilbage til angribernes Stripe-konto. Den skriver oplysningerne som fiktive kundeposter eller metadatafelter via den samme Stripe API . Fordi eksfiltreringstrafikken går direkte til api.stripe.com, falder den perfekt ind i mængden af legitime betalings-API-kald og gør tyveriet nærmest usynligt for firewall-logs og systemer til afsløring af uregelmæssigheder .

Hele operationen har ifølge forskerne været aktiv siden mindst 24. december 2025 .

Derfor er testmode-hemmelige nøgler så farlige her

Stripes testmode-hemmelige nøgler (sk_test_...) giver fuld læse- og skriveadgang i sandkassemiljøet og tillader ubegrænset oprettelse af fiktive kunder og metadatafelter uden omkostninger . Fordi testnøgler aldrig udløser rigtige betalinger, er misbrug af dem let at overse. Angriberne udnytter, at mange organisationer betragter testnøgler som lavrisiko og ikke reviderer sandkasseaktivitet med samme omhu, som de bruger på live-trafik.

En relateret, men separat trussel er eksponering af live-hemmelige nøgler, som ville give en angriber direkte adgang til rigtige transaktionsdata og mulighed for at refundere eller overføre penge . Selvom denne kampagne bruger testnøgler for at flyve under radaren, er det underliggende princip det samme: Stripe API-nøgler i enhver tilstand er stærke legitimationsoplysninger, som aldrig bør optræde i klient-side-kode eller Google Tag Manager-beholdere .

CVE-2026-3300: Kritisk RCE i Everest Forms Pro

Mens Stripe-kampagnen er rettet mod checkout-flow i e-handel, står WordPress-sider over for en lige så akut trussel fra en pluginsårbarhed, der har været aktivt udnyttet siden 13. april 2026 .

CVE-2026-3300 er en sårbarhed, der tillader uautoriseret fjernudførelse af kode (Remote Code Execution) i Everest Forms Pro-pluginet, som har omkring 4.000 aktive installationer . Sårbarheden scorer 9,8 på CVSS-skalaen og påvirker alle versioner op til og med 1.9.12 .

Fejlen ligger i funktionen process_filter() i Calculation-tilføjelsen. Når funktionen "Kompleks beregning" (Complex Calculation) er aktiveret, tager pluginet brugersupplerede værdier fra streng-felttyper, sammenkæder dem direkte i en PHP-kodestreng og sender resultatet til eval() uden korrekt escaping . Funktionen sanitize_text_field(), som anvendes på inputtet, neutraliserer ikke enkelte anførselstegn eller andre tegn, der har særlig betydning i en PHP-kodekontekst, og tillader dermed en angriber at bryde ud af den tilsigtede streng og injicere vilkårlige kommandoer .

Wordfence har blokeret over 29.300 udnyttelsesforsøg og rapporterer, at angriberne opretter uautoriserede administratorkonti som en del af overtagelsen af websitet . Sideejere bør lede efter tegn på kompromittering såsom nye adminbrugere med uventede navne, usædvanlige filer på serveren eller mistænkelige udgående forbindelser .

Forsvarsforanstaltninger mod begge trusler

Blokér Stripe-Magecart-angrebskæden

• Lås Google Tag Manager. Begræns GTM-beholdere til kun at indeholde godkendte, reviderede tags og kræv en streng godkendelsesproces for ændringer, før de publiceres .
• Stram din Content Security Policy. Angiv ikke api.stripe.com som script-src, medmindre det er strengt nødvendigt. Hvis du er nødt til at inkludere det, så håndhæv sub-resource integrity (SRI)-hashes. Blokering af inline-scripts giver et ekstra lag af beskyttelse .
• Revidér Stripe-sandkasseaktivitet. Overvåg dit Stripe-dashboard for usædvanlige mængder af oprettelse af kundeposter eller metadata-skrivninger under testnøgler. Behandl uregelmæssigheder i sandkassen med samme alvor som i live-tilstand.
• Rotér og beskyt API-nøgler. Integrér aldrig Stripe-hemmelige nøgler – hverken test eller live – i klient-side JavaScript, GTM-variabler eller offentlige repositories . Rotér enhver nøgle, der kan have været eksponeret .
• Implementér klient-side overvågning. Brug browser-baserede integritetstjek, der registrerer DOM-manipulation på checkoutsider fra uautoriserede scripts .

Opdatér sårbarheden i Everest Forms Pro

• Opdatér med det samme. Opgrader til Everest Forms Pro version 1.9.13 eller nyere, som indeholder rettelsen .
• Deaktivér den risikable funktion, hvis opdatering er forsinket. Som en midlertidig løsning kan du slå funktionen "Kompleks beregning" (Complex Calculation) fra i pluginindstillingerne for at forhindre udnyttelse via uescapet eval()-input .
• Scan for tegn på kompromittering. Søg efter ukendte adminbrugere, uventede filer, mistænkelige eval()-kald og udgående netværksforbindelser til ukendte IP-adresser. En fuld integritetskontrol af WordPress-core, temaer og plugin-filchecksummer er essentiel efter opretning .