Skimmer Magecart Sulap Stripe Jadi Server Komando yang Tersamar Sempurna
Kampanye Magecart baru yang ditemukan Sansec menggunakan API mode uji Stripe untuk meng hosting payload skimmer JavaScript dan menyimpan data kartu kredit curian, menyembunyikan seluruh serangan di balik domain yang d... Serangan tiga tahap ini dimulai dari injeksi lewat Google Tag Manager, pengambilan kode skimmer...
What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration pThe skimmer never loads from a malicious domain. The loader, the payload, and the stolen cards all move through googletagmanager.com and api.stripe.com. Image: OpenAI / Studio Global.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration p. Article summary: Below is a detailed breakdown of both active threats.. Topic tags: general, government, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers at Silent Push Preemptive Cyber Defense have uncovered an extensive and sophisticated web-skimming campaign that has been actively stealing credit card da" source context "New Magecart Campaign Steals Credit Card Details During Online Checkouts" Reference image 2: visual subject "* Silent Push Preemptive Cyber Defense Analysts recently uncovered an extensive network of domains associated with a long-term, ongoing web-skimmer
openai.com
Sebuah kampanye yang diungkap oleh Sansec dan BleepingComputer pada Juni 2026 mengungkap aktor Magecart yang menggunakan ulang infrastruktur Stripe sebagai platform perintah-dan-kendali sekali pakai serta titik eksfiltrasi data . Serangan ini tidak pernah memuat kode dari domain berbahaya. Sebaliknya, pemuat (loader), muatan skimming, dan data pembayaran yang dipanen semuanya berjalan melalui googletagmanager.com dan api.stripe.com — dua domain yang begitu esensial bagi e-dagang modern sehingga hampir tidak ada toko yang memblokir atau memeriksanya dengan ketat . Bersamaan dengan kampanye ini, kerentanan kritis terpisah pada plugin WordPress Everest Forms Pro (CVE-2026-3300) juga tengah dieksploitasi aktif, memungkinkan penyerang tanpa otentikasi menjalankan kode PHP arbitrari dan mengambil alih situs yang rentan .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Skimmer Magecart Sulap Stripe Jadi Server Komando yang Tersamar Sempurna"?
Kampanye Magecart baru yang ditemukan Sansec menggunakan API mode uji Stripe untuk meng hosting payload skimmer JavaScript dan menyimpan data kartu kredit curian, menyembunyikan seluruh serangan di balik domain yang d...
Apa poin penting yang harus divalidasi terlebih dahulu?
Kampanye Magecart baru yang ditemukan Sansec menggunakan API mode uji Stripe untuk meng hosting payload skimmer JavaScript dan menyimpan data kartu kredit curian, menyembunyikan seluruh serangan di balik domain yang d... Serangan tiga tahap ini dimulai dari injeksi lewat Google Tag Manager, pengambilan kode skimmer dari kolom metadata Pelanggan di akun Stripe penyerang, hingga penampungan data curian kembali ke akun Stripe yang sama,...
Apa yang harus saya lakukan selanjutnya dalam latihan?
Pertahanan memerlukan penguncian akses Google Tag Manager, penghapusan api.stripe.com dari direktif script src di Content Security Policy, dan penambalan segera plugin Everest Forms Pro ke versi di atas 1.9.13 untuk m...
Kampanye ini merangkai tiga tahap, masing-masing menyalahgunakan layanan sah untuk menghindari deteksi .
Tahap 1: Menyuntikkan pemuat melalui Google Tag Manager
Penyerang pertama-tama mengkompromikan kontainer Google Tag Manager (GTM) di toko target. Mereka menyisipkan tag berbahaya yang dimuat di setiap halaman. Karena skrip berasal dari googletagmanager.com, domain analitik tepercaya, skrip ini melewati kebijakan Content Security Policy (CSP) dan pemblokir iklan pada umumnya tanpa menimbulkan alarm . GTM menjadi mekanisme pengiriman yang tidak dapat diblokir.
Tahap 2: Mengambil skimmer dari API Stripe
Alih-alih memanggil server pihak ketiga yang mencurigakan, tag GTM meminta muatan skimmer dari api.stripe.com. Penyerang menyimpan seluruh skimmer JavaScript di dalam kolom metadata Pelanggan di akun Stripe mereka sendiri, menggunakan kunci rahasia mode uji (sk_test_...) untuk menulis dan mengambilnya . Skimmer tiba dari domain yang secara implisit dipercaya oleh operator toko sebagai bagian dari infrastruktur pembayaran mereka, sehingga pemantauan jaringan dan aturan CSP jarang menandai panggilan API tersebut.
Tahap 3: Mengeksfiltrasi data curian kembali ke akun Stripe yang sama
Saat pembeli memasukkan detail kartu kredit, informasi pribadi, dan alamat penagihan di halaman checkout, skimmer yang disuntikkan menangkap data tersebut dan mengirimkannya kembali ke akun Stripe penyerang. Skimmer menulis informasi itu sebagai catatan Pelanggan palsu atau entri metadata menggunakan API Stripe yang sama . Karena lalu lintas eksfiltrasi kembali menuju api.stripe.com, data ini berpadu sempurna dengan panggilan API pembayaran yang sah, membuat pencurian ini pada dasarnya tidak terlihat oleh log firewall dan alat deteksi anomali .
Seluruh operasi telah aktif setidaknya sejak 24 Desember 2025, menurut indikator yang dilihat oleh para peneliti .
Mengapa kunci rahasia mode uji sangat berbahaya di sini
Kunci rahasia mode uji Stripe (sk_test_...) memberikan akses baca dan tulis penuh dalam lingkungan sandbox dan memungkinkan pembuatan pelanggan dan kolom metadata palsu tanpa batas secara gratis . Karena kunci uji tidak pernah memicu tagihan nyata, penyalahgunaannya mudah terlewatkan. Para penyerang mengandalkan fakta bahwa banyak organisasi memperlakukan kunci uji sebagai aset berisiko rendah dan gagal mengaudit aktivitas sandbox dengan ketelitian yang sama seperti yang mereka terapkan pada lalu lintas mode langsung.
Ancaman terkait tetapi terpisah adalah tereksposnya kunci rahasia mode langsung, yang akan memberi penyerang akses langsung ke data transaksional nyata dan kemampuan untuk menerbitkan pengembalian dana atau mentransfer dana . Meskipun kampanye ini menggunakan kunci mode uji untuk sembunyi-sembunyi, prinsip dasarnya sama: Kunci API Stripe, dalam mode apa pun, adalah kredensial kuat yang tidak boleh muncul di kode sisi klien atau kontainer Google Tag Manager .
CVE-2026-3300: RCE Kritis di Everest Forms Pro
Sementara kampanye Stripe menargetkan alur checkout e-dagang, pemilik situs WordPress menghadapi ancaman yang sama mendesaknya dari kerentanan plugin yang telah dieksploitasi secara aktif sejak 13 April 2026 .
CVE-2026-3300 adalah kelemahan remote code execution tanpa otentikasi di plugin Everest Forms Pro, yang memiliki sekitar 4.000 instalasi aktif . Kerentanan ini memiliki skor 9.8 pada skala CVSS dan mempengaruhi semua versi hingga dan termasuk 1.9.12 .
Kutu ini terletak di fungsi process_filter() di dalam add-on Calculation. Ketika fitur "Complex Calculation" diaktifkan, plugin ini mengambil nilai yang dikirimkan pengguna dari bidang formulir tipe string, menggabungkannya langsung ke dalam string kode PHP, dan meneruskan hasilnya ke eval() tanpa pengamanan yang tepat . Fungsi sanitize_text_field() yang diterapkan pada input tidak menetralkan tanda kutip tunggal atau karakter lain yang memiliki makna khusus dalam konteks kode PHP, memungkinkan penyerang untuk keluar dari string yang dimaksud dan menyuntikkan perintah arbitrari .
Wordfence telah memblokir lebih dari 29.300 percobaan eksploitasi dan melaporkan bahwa penyerang menyebarkan akun administrator tidak sah sebagai bagian dari proses pasca-eksploitasi . Pemilik situs harus mencari indikator kompromi seperti pengguna admin baru dengan nama tak terduga, file mencurigakan di server, atau koneksi keluar yang janggal .
Langkah defensif untuk kedua ancaman
Memblokir rantai serangan Magecart Stripe
Kunci akses Google Tag Manager. Batasi kontainer GTM hanya untuk tag yang disetujui dan diaudit, serta wajibkan persetujuan manajemen perubahan yang ketat sebelum dipublikasikan .
Perketat Content Security Policy Anda. Jangan cantumkan api.stripe.com sebagai script-src kecuali benar-benar diperlukan. Jika harus menyertakannya, terapkan hash sub-resource integrity (SRI). Memblokir skrip inline memberikan lapisan pertahanan lain .
Audit aktivitas sandbox Stripe. Pantau dasbor Stripe Anda untuk volume pembuatan objek Pelanggan atau penulisan metadata yang tidak biasa di bawah kunci mode uji. Perlakukan anomali sandbox dengan keseriusan yang sama seperti anomali mode langsung.
Putar dan lindungi kunci API. Jangan pernah menyematkan kunci rahasia Stripe — uji atau langsung — dalam JavaScript sisi klien, variabel GTM, atau repositori publik . Putar kunci apa pun yang mungkin telah terekspos .
Terapkan pemantauan sisi klien. Gunakan pemeriksaan integritas sisi peramban yang mendeteksi manipulasi DOM di halaman checkout oleh skrip tidak sah .
Menambal kerentanan Everest Forms Pro
Perbarui segera. Tingkatkan ke Everest Forms Pro versi 1.9.13 atau lebih baru, yang berisi perbaikan .
Nonaktifkan fitur berisiko jika penambalan tertunda. Sebagai solusi sementara, matikan fitur "Complex Calculation" di pengaturan plugin untuk mencegah eksploitasi melalui input eval() yang tidak di-escape .
Pindai tanda-tanda kompromi. Cari akun admin tak dikenal, file tak terduga, panggilan eval() yang mencurigakan, dan koneksi jaringan keluar ke IP tidak dikenal. Pemeriksaan integritas penuh WordPress pada checksum file inti, tema, dan plugin sangat penting setelah remediasi .
Comments
0 comments