Malware Perisik Kad Kredit Mengeksploitasi API Stripe untuk Menyamar sebagai Trafik Sah

Bagaimana Serangan Tiga Peringkat Magecart Berasaskan Stripe Berfungsi

Kempen ini merantaikan tiga peringkat serangan, di mana setiap peringkat menyalahgunakan perkhidmatan yang sah untuk mengelak pengesanan. Ia ibarat penjenayah yang menyamar sebagai petugas sah dan menyembunyikan barang curian di dalam peti simpanan bank itu sendiri.

Peringkat 1: Suntikan Pemuat Melalui Google Tag Manager

Penjenayah mula-mula menceroboh satu bekas (container) Google Tag Manager (GTM) di laman web sasaran. Mereka menyuntik tag GTM yang berniat jahat, yang kemudiannya dimuatkan pada setiap halaman. Oleh kerana skrip ini berasal daripada domain googletagmanager.com — domain analitik yang dipercayai — ia boleh memintas Dasar Keselamatan Kandungan (Content Security Policy, CSP) dan penyekat iklan tanpa menimbulkan sebarang syak wasangka . Di sinilah GTM bertindak sebagai mekanisme penghantaran yang tidak boleh disekat.

Peringkat 2: Mengambil Muatan Perisik dari API Stripe

Daripada memanggil pelayan pihak ketiga yang mencurigakan, tag GTM tadi akan menghantar permintaan kepada api.stripe.com untuk mendapatkan muatan perisik penuh JavaScript. Di manakah kod perisik ini disimpan? Penjenayah menyimpannya di dalam medan metadata 'Customer' pada akaun Stripe mereka sendiri. Mereka menggunakan kunci rahsia mod ujian (sk_test_...) untuk menulis dan mendapatkan semula kod tersebut .

Oleh kerana perisik itu tiba daripada domain yang menjadi nadi sistem pembayaran, pemantauan rangkaian dan peraturan CSP jarang sekali menandakan panggilan API ini sebagai sesuatu yang luar biasa atau berbahaya.

Peringkat 3: Mengeksfiltrasi Data Curian Kembali ke Akaun Stripe Yang Sama

Apabila seorang pembeli memasukkan butiran kad kredit, maklumat peribadi dan alamat pengebilan di halaman daftar keluar, perisik yang telah disuntik akan menangkap data tersebut dan menghantarnya semula ke akaun Stripe penjenayah. Data curian ini disalin sebagai rekod 'Customer' palsu atau entri metadata dengan menggunakan API Stripe yang sama .

Memandangkan trafik eksfiltrasi ini dihalakan kembali ke api.stripe.com, ia akan sebati dengan sempurna di celah-celah panggilan API pembayaran yang sah. Kecurian ini hampir tidak dapat dikesan oleh log tembok api (firewall) atau alat pengesanan anomali . Keseluruhan operasi ini dilaporkan telah aktif sejak sekurang-kurangnya 24 Disember 2025, berdasarkan petunjuk yang dilihat oleh penyelidik .

Mengapa Kunci Rahsia Mod Ujian Sangat Berbahaya di Sini

Kunci rahsia mod ujian (sk_test_...) Stripe memberikan akses baca dan tulis penuh dalam persekitaran kotak pasir (sandbox) dan membolehkan penciptaan tanpa had untuk rekod pelanggan palsu serta medan metadata secara percuma . Oleh kerana kunci ujian tidak akan mencetuskan sebarang caj sebenar, penyalahgunaannya sangat mudah terlepas pandang.

Penjenayah bergantung pada hakikat bahawa banyak organisasi menganggap kunci ujian sebagai aset berisiko rendah dan gagal mengaudit aktiviti kotak pasir dengan ketat seperti mana mereka memantau trafik mod langsung. Prinsip asas yang perlu diingatkan di sini: Kunci API Stripe dalam apa jua mod, adalah kelayakan yang sangat berkuasa dan tidak sepatutnya muncul dalam kod sisi klien atau bekas Google Tag Manager .

CVE-2026-3300: Kerentanan Kritikal Pelaksanaan Kod Jarak Jauh (RCE) dalam Everest Forms Pro

Sementara kempen Stripe menyasarkan aliran daftar keluar e-dagang, pemilik laman web WordPress menghadapi ancaman yang sama mendesaknya daripada kerentanan plugin yang telah dieksploitasi secara aktif sejak 13 April 2026 .

CVE-2026-3300 adalah kelemahan pelaksanaan kod jarak jauh tanpa log masuk (unauthenticated RCE) dalam plugin Everest Forms Pro, yang mempunyai kira-kira 4,000 pemasangan aktif . Kerentanan ini mencatatkan skor kritikal 9.8 pada skala CVSS dan menjejaskan semua versi sehingga dan termasuk 1.9.12 .

Puncanya terletak pada fungsi process_filter() dalam add-on 'Calculation' (Pengiraan). Apabila ciri "Complex Calculation" (Pengiraan Kompleks) diaktifkan, plugin mengambil nilai yang dihantar pengguna dari medan borang jenis rentetan, menggabungkannya secara terus ke dalam satu rentetan kod PHP, dan kemudian menyerahkan hasilnya kepada fungsi eval() tanpa pengescaipan (escaping) yang betul . Fungsi sanitize_text_field() yang digunakan pada input tersebut tidak meneutralkan tanda petikan tunggal atau aksara lain yang mempunyai makna khusus dalam konteks kod PHP. Ini membuka peluang kepada penyerang untuk 'keluar' dari rentetan yang dimaksudkan dan menyuntik arahan sewenang-wenangnya .

Syarikat keselamatan Wordfence telah menyekat lebih 29,300 percubaan eksploitasi dan melaporkan bahawa penyerang sedang mencipta akaun pentadbir tanpa kebenaran sebagai sebahagian daripada proses pasca eksploitasi . Pentadbir laman web perlu segera menyemak petunjuk pencerobohan seperti kewujudan pengguna admin baharu dengan nama yang mencurigakan, fail-fail luar biasa di pelayan, atau sambungan keluar yang mencurigakan .

Langkah-Langkah Pertahanan untuk Kedua-Dua Ancaman

Menyekat Rantaian Serangan Magecart Stripe

• Ketatkan kawalan Google Tag Manager. Hadkan bekas GTM hanya kepada tag yang diluluskan dan telah diaudit. Wajibkan proses kelulusan pengurusan perubahan yang ketat sebelum menerbitkan sebarang tag .
• Perketat Dasar Keselamatan Kandungan (CSP) anda. Jangan senaraikan api.stripe.com sebagai script-src melainkan ianya benar-benar perlu. Jika perlu, kuatkuasakan hash Sub-Resource Integrity (SRI). Menyekat skrip sebaris (inline scripts) menyediakan satu lagi lapisan pertahanan .
• Audit aktiviti kotak pasir (sandbox) Stripe. Pantau papan pemuka Stripe anda untuk sebarang peningkatan luar biasa dalam penciptaan objek 'Customer' atau penulisan metadata di bawah kunci mod ujian. Ambil serius setiap anomali kotak pasir sama seperti ancaman dalam mod langsung.
• Putarkan dan lindungi kunci API. Jangan sesekali benamkan kunci rahsia Stripe — sama ada mod ujian atau langsung — dalam JavaScript sisi klien, pembolehubah GTM, atau repositori awam . Putarkan sebarang kunci yang mungkin telah terdedah .
• Gunakan pemantauan sisi klien. Laksanakan pemeriksaan integriti sisi pelayar yang boleh mengesan manipulasi DOM pada halaman daftar keluar oleh skrip yang tidak dibenarkan .

Menampal Kerentanan Everest Forms Pro

• Kemas kini dengan segera. Naik taraf kepada Everest Forms Pro versi 1.9.13 atau yang lebih baharu. Versi ini mengandungi pembetulan untuk kelemahan tersebut .
• Lumpuhkan ciri berisiko jika proses menampal tertangguh. Sebagai langkah sementara, matikan ciri "Complex Calculation" dalam tetapan plugin untuk mengelakkan eksploitasi melalui input eval() yang tidak diescaip .
• Imbas tanda-tanda pencerobohan. Cari akaun admin yang tidak dikenali, fail yang tidak dijangka, panggilan eval() yang mencurigakan, dan sambungan rangkaian keluar ke IP yang tidak biasa. Pemeriksaan integriti WordPress sepenuhnya pada fail teras, tema, dan plugin adalah sangat penting selepas pemulihan dilakukan .