Magecart infiltruje Stripe: gdy infrastruktura płatności staje się centrum dowodzenia hakerów
Nowa kampania Magecart odkryta przez Sansec wykorzystuje testowe API Stripe do hostowania złośliwego kodu JavaScript kradnącego dane kart i przechowywania skradzionych informacji, ukrywając cały atak za domenami, któr... Atak w całości odbywa się przez googletagmanager.com i api.stripe.com, nigdy nie dotykając domen...
What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration pThe skimmer never loads from a malicious domain. The loader, the payload, and the stolen cards all move through googletagmanager.com and api.stripe.com. Image: OpenAI / Studio Global.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration p. Article summary: Below is a detailed breakdown of both active threats.. Topic tags: general, government, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers at Silent Push Preemptive Cyber Defense have uncovered an extensive and sophisticated web-skimming campaign that has been actively stealing credit card da" source context "New Magecart Campaign Steals Credit Card Details During Online Checkouts" Reference image 2: visual subject "* Silent Push Preemptive Cyber Defense Analysts recently uncovered an extensive network of domains associated with a long-term, ongoing web-skimmer
openai.com
Kampania ujawniona przez firmy Sansec i BleepingComputer w czerwcu 2026 roku pokazuje, jak cyberprzestępcy z grupy Magecart przekształcili infrastrukturę Stripe w jednorazową platformę dowodzenia i kontroli (C2) oraz punkt eksfiltracji danych . Atak nigdy nie ładuje kodu ze złośliwej domeny. Zamiast tego, loader, payload skimmujący i skradzione dane płatnicze podróżują przez googletagmanager.com oraz api.stripe.com – dwie domeny tak kluczowe dla współczesnego e-commerce, że praktycznie żaden sklep ich nie blokuje ani dokładnie nie monitoruje . Równolegle z tą kampanią, trwa aktywne wykorzystywanie odrębnej, krytycznej luki w pluginie WordPress Everest Forms Pro (CVE-2026-3300), która pozwala nieuwierzytelnionym atakującym na wykonanie dowolnego kodu PHP i przejęcie zagrożonych stron .
Jak działa trzyetapowy atak Magecart na Stripe
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Magecart infiltruje Stripe: gdy infrastruktura płatności staje się centrum dowodzenia hakerów"?
Nowa kampania Magecart odkryta przez Sansec wykorzystuje testowe API Stripe do hostowania złośliwego kodu JavaScript kradnącego dane kart i przechowywania skradzionych informacji, ukrywając cały atak za domenami, któr...
What are the key points to validate first?
Nowa kampania Magecart odkryta przez Sansec wykorzystuje testowe API Stripe do hostowania złośliwego kodu JavaScript kradnącego dane kart i przechowywania skradzionych informacji, ukrywając cały atak za domenami, któr... Atak w całości odbywa się przez googletagmanager.com i api.stripe.com, nigdy nie dotykając domeny kontrolowanej przez atakującego, co czyni go niemal niewykrywalnym dla standardowych zabezpieczeń [17][15].
What should I do next in practice?
Równolegle trwa aktywna eksploatacja krytycznej luki CVE 2026 3300 w pluginie Everest Forms Pro dla WordPressa, z wynikiem 9.8 w skali CVSS, umożliwiająca zdalne wykonanie kodu i przejęcie witryny przez nieuwierzyteln...
Kampania łączy trzy etapy, z których każdy nadużywa legalnej usługi, aby uniknąć wykrycia .
Etap 1: Wstrzyknięcie loadera przez Google Tag Manager
Atakujący najpierw przejmują kontener Google Tag Manager (GTM) w docelowym sklepie. Wstawiają złośliwy tag, który ładuje się na każdej podstronie. Ponieważ skrypt pochodzi z googletagmanager.com, zaufanej domeny analitycznej, omija typowe zasady Content Security Policy (CSP) i blokady reklam, nie wzbudzając alarmu . GTM staje się niemożliwym do zablokowania mechanizmem dostarczania złośliwego kodu.
Etap 2: Pobranie skimmera z API Stripe
Zamiast łączyć się z podejrzanym serwerem, tag GTM żąda payloadu skimmera z api.stripe.com. Atakujący przechowują pełny kod JavaScript skimmera w polu metadanych klienta (Customer metadata) na swoim własnym koncie Stripe, używając tajnego klucza testowego (sk_test_...) do zapisu i odczytu . Skimmer dociera z domeny, którą operatorzy sklepów domyślnie ufają jako części swojego stosu płatności, więc monitoring sieci i reguły CSP rzadko oznaczają to wywołanie API jako podejrzane.
Etap 3: Eksfiltracja skradzionych danych z powrotem na to samo konto Stripe
Gdy kupujący wprowadza dane karty kredytowej, dane osobowe i adres rozliczeniowy przy kasie, wstrzyknięty skimmer przechwytuje te informacje i wysyła je z powrotem na konto Stripe atakujących. Zapisuje je jako fałszywe rekordy klientów (Customer) lub wpisy w metadanych, używając tego samego API Stripe . Ponieważ ruch eksfiltracyjny kieruje się z powrotem do api.stripe.com, idealnie wtapia się w legalne wywołania API płatności, czyniąc kradzież praktycznie niewidoczną dla logów zapory sieciowej i narzędzi do wykrywania anomalii .
Według wskaźników zaobserwowanych przez badaczy, cała operacja jest aktywna co najmniej od 24 grudnia 2025 roku .
Dlaczego tajne klucze testowe są tutaj tak niebezpieczne
Tajne klucze testowe Stripe (sk_test_...) przyznają pełny dostęp do odczytu i zapisu w środowisku testowym (sandbox) i umożliwiają nieograniczone tworzenie fałszywych klientów i pól metadanych bez żadnych kosztów . Ponieważ klucze testowe nigdy nie inicjują prawdziwych obciążeń, ich nadużycie jest łatwe do przeoczenia. Atakujący polegają na tym, że wiele organizacji traktuje klucze testowe jako mało ryzykowne i nie audytuje aktywności w trybie testowym z taką samą rygorystycznością, jaką stosuje do ruchu produkcyjnego.
Powiązanym, ale odrębnym zagrożeniem jest ujawnienie produkcyjnych kluczy tajnych (sk_live_...), które dałyby atakującemu bezpośredni dostęp do prawdziwych danych transakcyjnych i możliwość dokonywania zwrotów lub transferu środków . Chociaż ta kampania wykorzystuje klucze testowe dla zachowania dyskrecji, podstawowa zasada jest taka sama: klucze API Stripe, w dowolnym trybie, są potężnymi poświadczeniami, które nigdy nie powinny pojawiać się w kodzie po stronie klienta ani w kontenerach Google Tag Manager .
CVE-2026-3300: Krytyczne RCE w Everest Forms Pro
Podczas gdy kampania na Stripe celuje w przepływy kasowe e-commerce, właściciele stron WordPress stoją w obliczu równie pilnego zagrożenia ze strony luki w pluginie, która jest aktywnie eksploatowana od 13 kwietnia 2026 roku .
CVE-2026-3300 to nieuwierzytelniona luka umożliwiająca zdalne wykonanie kodu (RCE) w pluginie Everest Forms Pro, który ma około 4000 aktywnych instalacji . Podatność ma wynik 9.8 w skali CVSS i dotyczy wszystkich wersji do 1.9.12 włącznie .
Błąd znajduje się w funkcji process_filter() wewnątrz dodatku Calculation (Obliczenia). Gdy funkcja "Complex Calculation" (Złożone obliczenia) jest włączona, plugin pobiera wartości wprowadzone przez użytkownika z pól formularza typu tekstowego, bezpośrednio łączy je w łańcuch kodu PHP i przekazuje wynik do niebezpiecznej funkcji eval(), bez odpowiedniego eskejpowania . Funkcja sanitize_text_field() zastosowana do danych wejściowych nie neutralizuje pojedynczych cudzysłowów ani innych znaków mających specjalne znaczenie w kontekście kodu PHP, umożliwiając atakującemu "wyrwanie się" z zamierzonego łańcucha znaków i wstrzyknięcie dowolnych komend .
Firma Wordfence zablokowała już ponad 29 300 prób exploitacji i donosi, że atakujący w ramach działań po przejęciu kontroli zakładają nieautoryzowane konta administratora . Właściciele stron powinni szukać wskaźników kompromitacji, takich jak nowi użytkownicy administracyjni o nieoczekiwanych nazwach, nietypowe pliki na serwerze czy podejrzane połączenia wychodzące .
Środki obronne przed oboma zagrożeniami
Blokowanie łańcucha ataku Magecart na Stripe
Zabezpiecz Google Tag Manager. Ogranicz kontenery GTM tylko do zatwierdzonych, audytowanych tagów i wymagaj ścisłego procesu zarządzania zmianami przed publikacją .
Zaostrz swoją Content Security Policy (CSP). Nie umieszczaj api.stripe.com w dyrektywie script-src, chyba że jest to absolutnie konieczne. Jeśli musisz ją uwzględnić, wymuszaj hasze Sub-Resource Integrity (SRI). Blokowanie skryptów inline zapewnia dodatkową warstwę obrony .
Audytuj aktywność testową Stripe. Monitoruj panel Stripe pod kątem nietypowej liczby tworzenia obiektów klienta (Customer) lub zapisów metadanych przy użyciu kluczy testowych. Traktuj anomalie w trybie testowym z taką samą powagą jak anomalie w trybie produkcyjnym.
Rotuj i chroń klucze API. Nigdy nie umieszczaj tajnych kluczy Stripe — testowych ani produkcyjnych — w kodzie JavaScript po stronie klienta, zmiennych GTM ani publicznych repozytoriach . Rotuj każdy klucz, który mógł zostać ujawniony .
Wdróż monitoring po stronie klienta. Używaj narzędzi do kontroli integralności w przeglądarce, które wykrywają manipulacje DOM na stronach kasowych przez nieautoryzowane skrypty .
Łatanie luki w Everest Forms Pro
Natychmiast zaktualizuj. Przeprowadź aktualizację do wersji Everest Forms Pro 1.9.13 lub nowszej, która zawiera poprawkę .
Wyłącz ryzykowną funkcję, jeśli łatka jest opóźniona. Jako tymczasowe rozwiązanie, wyłącz funkcję "Complex Calculation" w ustawieniach pluginu, aby zapobiec eksploitacji przez nieescapowane wejście do eval().
Skanuj w poszukiwaniu oznak włamania. Poszukaj nieznanych kont administracyjnych, nieoczekiwanych plików, podejrzanych wywołań eval() i wychodzących połączeń sieciowych do nieznanych adresów IP. Pełne sprawdzenie integralności plików rdzenia, motywu i wtyczek WordPressa jest niezbędne po usunięciu zagrożenia .
Comments
0 comments