Magecart Trasforma l'API di Stripe in un Server di Comando e un Deposito Dati
Una campagna Magecart scoperta da Sansec sfrutta l'API in modalità test di Stripe sia per ospitare il codice malevolo JavaScript, sia per archiviare i dati delle carte rubate. L'attacco si articola in tre fasi: iniezione del loader tramite Google Tag Manager, recupero dello skimmer da un campo metadati di un account...
What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration pThe skimmer never loads from a malicious domain. The loader, the payload, and the stolen cards all move through googletagmanager.com and api.stripe.com. Image: OpenAI / Studio Global.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration p. Article summary: Below is a detailed breakdown of both active threats.. Topic tags: general, government, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers at Silent Push Preemptive Cyber Defense have uncovered an extensive and sophisticated web-skimming campaign that has been actively stealing credit card da" source context "New Magecart Campaign Steals Credit Card Details During Online Checkouts" Reference image 2: visual subject "* Silent Push Preemptive Cyber Defense Analysts recently uncovered an extensive network of domains associated with a long-term, ongoing web-skimmer
openai.com
Sansec e BleepingComputer hanno svelato a giugno 2026 una campagna Magecart che trasforma l'infrastruttura di Stripe in una piattaforma di comando e controllo (C2) e in un endpoint di esfiltrazione dati “usa e getta” . L'attacco non carica mai codice da un dominio controllato dagli aggressori. Invece, il caricatore (loader), il codice malevolo (skimmer) e i dati di pagamento rubati transitano tutti attraverso googletagmanager.com e api.stripe.com, due domini così essenziali per l'e-commerce odierno che praticamente nessun negozio li blocca o li ispeziona approfonditamente . In parallelo, è in corso lo sfruttamento attivo di una vulnerabilità critica separata, CVE-2026-3300, nel plugin WordPress Everest Forms Pro, che permette ad aggressori non autenticati di eseguire codice PHP arbitrario e prendere il controllo dei siti vulnerabili .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Magecart Trasforma l'API di Stripe in un Server di Comando e un Deposito Dati"?
Una campagna Magecart scoperta da Sansec sfrutta l'API in modalità test di Stripe sia per ospitare il codice malevolo JavaScript, sia per archiviare i dati delle carte rubate.
What are the key points to validate first?
Una campagna Magecart scoperta da Sansec sfrutta l'API in modalità test di Stripe sia per ospitare il codice malevolo JavaScript, sia per archiviare i dati delle carte rubate. L'attacco si articola in tre fasi: iniezione del loader tramite Google Tag Manager, recupero dello skimmer da un campo metadati di un account Stripe ed esfiltrazione dei dati rubati sempre verso lo stesso account Stripe.
What should I do next in practice?
Parallelamente, la vulnerabilità critica CVE 2026 3300 (punteggio CVSS 9.8) nel plugin WordPress Everest Forms Pro è sotto sfruttamento attivo.
Come funziona l'attacco Magecart "Stripe" in tre fasi
La campagna mette in catena tre fasi consecutive, ognuna delle quali sfrutta un servizio legittimo per eludere il rilevamento .
Fase 1: Iniezione del loader tramite Google Tag Manager
Gli aggressori compromettono per prima cosa un contenitore (container) di Google Tag Manager (GTM) presente sul negozio online preso di mira. Al suo interno inseriscono un tag malevolo che si carica su ogni pagina. Poiché lo script proviene da googletagmanager.com, un dominio di analytics universalmente fidato, esso aggira le tipiche Content Security Policy (CSP) e gli ad-blocker senza destare alcun sospetto . GTM diventa così un meccanismo di consegna impossibile da bloccare.
Fase 2: Recupero dello skimmer dall'API di Stripe
Invece di contattare un losco server di terze parti, il tag GTM richiede il codice dello skimmer a api.stripe.com. Gli aggressori memorizzano l'intero skimmer JavaScript all'interno di un campo metadati del Cliente (Customer metadata) del proprio account Stripe. Per farlo, usano una chiave segreta di modalità test (sk_test_...), che permette loro di scrivere e leggere i dati . Lo skimmer arriva così da un dominio che i gestori dei negozi considerano implicitamente parte della loro infrastruttura di pagamento; di conseguenza, il monitoraggio di rete e le regole CSP raramente segnalano la chiamata API.
Fase 3: Esfiltrazione dei dati rubati sullo stesso account Stripe
Quando un acquirente inserisce i dettagli della carta di credito, le informazioni personali e l'indirizzo di fatturazione alla cassa, lo skimmer iniettato cattura i dati e li rispedisce all'account Stripe degli aggressori. Le informazioni vengono scritte come finti record di Clienti o nuovi metadati, utilizzando la stessa API di Stripe . Poiché il traffico di esfiltrazione è diretto proprio a api.stripe.com, si confonde perfettamente con le legittime chiamate API per i pagamenti. Questo rende il furto praticamente invisibile ai log del firewall e agli strumenti di rilevamento delle anomalie .
L'intera operazione, secondo gli indicatori osservati dai ricercatori, è attiva almeno dal 24 dicembre 2025 .
Perché le chiavi segrete di test sono così pericolose
Le chiavi segrete di test di Stripe (sk_test_...) concedono pieno accesso in lettura e scrittura all'interno dell'ambiente sandbox e permettono la creazione illimitata e gratuita di clienti e campi metadati fittizi . Poiché queste chiavi non attivano mai addebiti reali, è facile trascurarne un utilizzo improprio. Gli aggressori fanno leva sul fatto che molte organizzazioni trattano le chiavi di test come elementi a basso rischio e non sottopongono l'attività del sandbox allo stesso rigore con cui controllano il traffico di produzione.
Una minaccia correlata, ma distinta, è l'esposizione di chiavi segrete reali (sk_live_...). Se compromesse, darebbero a un aggressore accesso diretto ai dati transazionali reali e la capacità di emettere rimborsi o trasferire fondi . Sebbene questa campagna usi chiavi di test per muoversi in modo furtivo, il principio di fondo è lo stesso: le chiavi API di Stripe, in qualsiasi modalità, sono credenziali potenti che non dovrebbero mai apparire nel codice lato client o nei contenitori di Google Tag Manager .
CVE-2026-3300: Esecuzione di Codice Remoto Critica in Everest Forms Pro
Mentre la campagna Stripe prende di mira i flussi di checkout dell'e-commerce, i proprietari di siti WordPress devono affrontare una minaccia altrettanto urgente. Una vulnerabilità in un plugin è sotto sfruttamento attivo dal 13 aprile 2026 .
CVE-2026-3300 è una falla di esecuzione di codice remoto (RCE) senza autenticazione presente nel plugin Everest Forms Pro, che conta circa 4.000 installazioni attive . La vulnerabilità ha un punteggio di 9.8 sulla scala CVSS e interessa tutte le versioni fino alla 1.9.12 inclusa .
Il bug risiede nella funzione process_filter() all'interno del componente aggiuntivo Calculation. Quando la funzione "Calcolo Complesso" è abilitata, il plugin prende i valori forniti dall'utente nei campi del modulo di tipo stringa, li concatena direttamente in una stringa di codice PHP e passa il risultato alla funzione eval(), senza un adeguato escaping . La funzione sanitize_text_field() applicata all'input non neutralizza gli apici singoli o altri caratteri con significato speciale in un contesto di codice PHP, consentendo a un aggressore di uscire dalla stringa prevista e iniettare comandi arbitrari .
Wordfence ha bloccato oltre 29.300 tentativi di sfruttamento e riferisce che gli aggressori stanno creando account amministratore non autorizzati come parte del processo post-sfruttamento . I proprietari dei siti dovrebbero cercare indicatori di compromissione come nuovi utenti amministratori con nomi insoliti (es. "diksimarina"), file inaspettati sul server o connessioni in uscita sospette .
Misure difensive per entrambe le minacce
Bloccare la catena d'attacco Magecart via Stripe
Rafforzare la sicurezza di Google Tag Manager. Limitare i contenitori GTM ai soli tag approvati e verificati, e richiedere un rigoroso processo di approvazione della gestione delle modifiche prima della pubblicazione .
Stringere la vostra Content Security Policy. Non elencate api.stripe.com come script-src a meno che non sia strettamente necessario. Se dovete includerlo, applicate hash di Sub-Resource Integrity (SRI). Bloccare gli script inline fornisce un ulteriore livello di difesa .
Controllare l'attività del sandbox Stripe. Monitorare il pannello di controllo Stripe per volumi insoliti di creazione di oggetti Cliente o scritture di metadati sotto le chiavi di test. Trattate le anomalie del sandbox con la stessa serietà di quelle della modalità live.
Ruotare e proteggere le chiavi API. Non incorporate mai le chiavi segrete Stripe — di test o live — in JavaScript lato client, variabili GTM o repository pubblici . Ruotate immediatamente qualsiasi chiave che potrebbe essere stata esposta .
Implementare monitoraggio lato client. Utilizzare controlli di integrità lato browser per rilevare manipolazioni del DOM sulle pagine di checkout da parte di script non autorizzati .
Correggere la vulnerabilità di Everest Forms Pro
Aggiornare immediatamente. Effettuare l'upgrade a Everest Forms Pro versione 1.9.13 o successiva, che contiene la correzione .
Disabilitare la funzione a rischio se l'aggiornamento è rimandato. Come soluzione temporanea, disattivare la funzione "Calcolo Complesso" nelle impostazioni del plugin per prevenire lo sfruttamento tramite input non sottoposto a escaping nella funzione eval().
Cercare segni di compromissione. Verificare la presenza di account amministratore sconosciuti, file inaspettati, chiamate sospette a eval(), e connessioni di rete in uscita verso IP non noti. È essenziale un controllo di integrità completo di WordPress su core, temi e checksum dei file dei plugin dopo la correzione .
Comments
0 comments