Хакеры Magecart превратили Stripe в идеально замаскированный центр управления и сбора данных
Новая кампания Magecart, обнаруженная Sansec, использует тестовую среду Stripe как хостинг для скрипта скиммера и как хранилище украденных данных банковских карт — весь трафик атаки маскируется под легитимные запросы... Атака проходит в три этапа: внедрение через Google Tag Manager, загрузка вредоносного кода из Str...
What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration pThe skimmer never loads from a malicious domain. The loader, the payload, and the stolen cards all move through googletagmanager.com and api.stripe.com. Image: OpenAI / Studio Global.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration p. Article summary: Below is a detailed breakdown of both active threats.. Topic tags: general, government, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers at Silent Push Preemptive Cyber Defense have uncovered an extensive and sophisticated web-skimming campaign that has been actively stealing credit card da" source context "New Magecart Campaign Steals Credit Card Details During Online Checkouts" Reference image 2: visual subject "* Silent Push Preemptive Cyber Defense Analysts recently uncovered an extensive network of domains associated with a long-term, ongoing web-skimmer
openai.com
Новая кампания Magecart, раскрытая специалистами Sansec и BleepingComputer в июне 2026 года, демонстрирует качественно иной уровень маскировки: злоумышленники превратили инфраструктуру Stripe в командный сервер и точку сбора украденных данных . Атака построена так, что ни один внешний запрос не ведет на подозрительный или контролируемый хакерами домен. Загрузчик, сам скиммер и похищенные платежные данные перемещаются исключительно через googletagmanager.com и api.stripe.com — два ресурса, без которых не обходится практически ни один современный интернет-магазин . Параллельно с этой угрозой активно эксплуатируется критическая уязвимость в плагине Everest Forms Pro для WordPress (CVE-2026-3300), позволяющая неавторизованным злоумышленникам выполнять произвольный PHP-код на сервере и полностью захватывать уязвимые сайты .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Каков краткий ответ на вопрос «Хакеры Magecart превратили Stripe в идеально замаскированный центр управления и сбора данных»?
Новая кампания Magecart, обнаруженная Sansec, использует тестовую среду Stripe как хостинг для скрипта скиммера и как хранилище украденных данных банковских карт — весь трафик атаки маскируется под легитимные запросы...
Какие ключевые моменты необходимо проверить в первую очередь?
Новая кампания Magecart, обнаруженная Sansec, использует тестовую среду Stripe как хостинг для скрипта скиммера и как хранилище украденных данных банковских карт — весь трафик атаки маскируется под легитимные запросы... Атака проходит в три этапа: внедрение через Google Tag Manager, загрузка вредоносного кода из Stripe и отправка украденных данных обратно в тот же Stripe аккаунт — злоумышленники не используют ни одного своего домена
Что мне делать дальше на практике?
Уязвимость CVE 2026 3300 (оценка 9.8) в плагине Everest Forms Pro активно эксплуатируется с 13 апреля 2026 года: любой желающий может выполнить произвольный PHP код на сервере и получить полный контроль над сайтом
Кампания выстроена как цепочка из трёх последовательных шагов, каждый из которых злоупотребляет доверием к легитимным сервисам .
Этап 1: Внедрение загрузчика через Google Tag Manager
На первом этапе злоумышленники компрометируют контейнер Google Tag Manager (GTM) на целевом сайте и размещают в нём вредоносный тег, который активируется на каждой странице магазина. Поскольку скрипт загружается с googletagmanager.com — домена, которому безоговорочно доверяют и владельцы сайтов, и системы безопасности, — он легко обходит политики Content Security Policy (CSP) и блокировщики рекламы . GTM превращается в невидимый и практически неблокируемый канал доставки.
Этап 2: Получение скиммера напрямую из Stripe
Вместо обращения к стороннему подозрительному серверу, тег в GTM запрашивает основное тело вредоносного скрипта с api.stripe.com. Злоумышленники хранят полноценный JavaScript-скиммер внутри поля Customer metadata (метаданные клиента) в своём собственном Stripe-аккаунте, используя для записи и чтения тестовый секретный ключ формата sk_test_.... Скиммер поступает на сайт с того же домена, который обслуживает легитимные платежи, поэтому межсетевые экраны и системы мониторинга аномалий не видят в этом трафике ничего подозрительного .
Этап 3: Отправка украденных данных обратно в тот же Stripe-аккаунт
Когда посетитель магазина вводит на странице оформления заказа данные банковской карты, личную информацию и платёжный адрес, скиммер фиксирует их и отправляет обратно в Stripe. Данные записываются в виде поддельных записей Customer или полей метаданных через тот же самый API . Поскольку исходящий трафик снова направляется к api.stripe.com, он идеально сливается с реальными платёжными запросами, что делает кражу практически незаметной для журналов брандмауэра и систем выявления аномалий .
По данным исследователей, кампания активна как минимум с 24 декабря 2025 года .
Почему тестовые секретные ключи так опасны
Тестовые секретные ключи Stripe (sk_test_...) дают полный доступ на чтение и запись в рамках изолированной «песочницы» и позволяют бесплатно создавать неограниченное количество поддельных клиентов и метаданных . Поскольку тестовые ключи никогда не инициируют реальных списаний, злоупотребление ими легко упустить из виду. Злоумышленники полагаются на то, что многие компании считают тестовую среду малоопасной и не проверяют активность в ней с тем же вниманием, что и боевые операции.
Отдельную угрозу представляет компрометация боевых секретных ключей (sk_live_...), которая дала бы злоумышленнику прямой доступ к реальным транзакционным данным, возможность инициировать возвраты и переводить средства . Хотя эта кампания использует тестовые ключи для скрытности, принцип остаётся общим: любые секретные ключи Stripe — это мощные учётные данные, которые никогда не должны появляться в клиентском коде или контейнерах Google Tag Manager .
CVE-2026-3300: Критическая уязвимость в Everest Forms Pro
Пока кампания Magecart атакует процессы оформления заказов в интернет-магазинах, владельцы сайтов на WordPress столкнулись с не менее срочной угрозой в виде активно эксплуатируемой уязвимости в плагине Everest Forms Pro .
CVE-2026-3300 — это уязвимость удалённого выполнения кода (RCE), не требующая аутентификации. Она затрагивает плагин Everest Forms Pro, насчитывающий около 4000 активных установок . Уязвимость получила оценку 9.8 по шкале CVSS и присутствует во всех версиях вплоть до 1.9.12 включительно .
Уязвимость находится в функции process_filter() дополнения Calculation. Когда функция «Complex Calculation» (Сложные вычисления) включена, плагин берёт значения, введённые пользователем в текстовые поля формы, напрямую вставляет их в строку PHP-кода и передаёт результат в опасную конструкцию eval() без надлежащего экранирования . Функция sanitize_text_field(), применяемая к пользовательскому вводу, не обезвреживает одинарные кавычки и другие символы, имеющие специальное значение в контексте PHP-кода. Это позволяет злоумышленнику выйти за пределы предполагаемой строки и внедрить произвольные команды .
Wordfence заблокировала более 29 300 попыток эксплуатации и сообщает, что в ходе пост-эксплуатационной активности злоумышленники создают несанкционированные учётные записи администраторов . Владельцам сайтов следует обратить внимание на индикаторы компрометации: появление новых администраторов с подозрительными именами, неожиданные файлы на сервере и подозрительные исходящие соединения .
Практические меры защиты от обеих угроз
Блокировка атак Magecart через Stripe
Ужесточите контроль над Google Tag Manager. Ограничьте GTM-контейнеры только утверждёнными и проверенными тегами, внедрите строгий процесс согласования изменений перед публикацией .
Настройте Content Security Policy. Не включайте api.stripe.com в директиву script-src без крайней необходимости. Если это неизбежно — используйте Subresource Integrity (SRI) с указанием хешей. Запрет на выполнение инлайн-скриптов создаст дополнительный уровень защиты .
Проверяйте активность в тестовой среде Stripe. Отслеживайте в панели управления Stripe необычно большое количество создаваемых объектов Customer или записей в метаданных через тестовые ключи и реагируйте на аномалии в «песочнице» так же серьёзно, как и на боевые инциденты.
Регулярно ротируйте и защищайте API-ключи. Никогда не размещайте секретные ключи Stripe — ни тестовые, ни боевые — в клиентском JavaScript, переменных GTM или публичных репозиториях . Ротируйте любые ключи, которые могли быть скомпрометированы .
Внедрите мониторинг на стороне клиента. Используйте средства контроля целостности страницы в браузере, способные обнаружить несанкционированные манипуляции с DOM на страницах оформления заказа .
Устранение уязвимости Everest Forms Pro
Немедленно обновитесь. Установите Everest Forms Pro версии 1.9.13 или новее, в которой уязвимость устранена .
Временно отключите опасную функцию. Если немедленное обновление невозможно, отключите функцию «Complex Calculation» в настройках плагина — это предотвратит эксплуатацию через неэкранированный ввод в eval().
Проверьте сайт на признаки взлома. Ищите неизвестные учётные записи администраторов, неожиданные файлы, подозрительные вызовы eval() и исходящие сетевые подключения к незнакомым IP-адресам. После устранения уязвимости обязательно выполните полную проверку целостности WordPress: контрольные суммы ядра, тем и файлов плагинов должны быть сверены с эталонными .
Comments
0 comments