Magecart-skimrare gör om Stripe till en perfekt kamouflerad kommando- och kontrollserver
En ny Magecart kampanj, upptäckt av Sansec, använder Stripes eget test API för att både hämta skimnings JavaScript och lagra stulna kortuppgifter – hela attacken döljs bakom domäner som varje e handel litar på. Attacken flödar helt via googletagmanager.com och api.stripe.com och vidrör aldrig en angriparstyrd domän,...
What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration pThe skimmer never loads from a malicious domain. The loader, the payload, and the stolen cards all move through googletagmanager.com and api.stripe.com. Image: OpenAI / Studio Global.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration p. Article summary: Below is a detailed breakdown of both active threats.. Topic tags: general, government, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers at Silent Push Preemptive Cyber Defense have uncovered an extensive and sophisticated web-skimming campaign that has been actively stealing credit card da" source context "New Magecart Campaign Steals Credit Card Details During Online Checkouts" Reference image 2: visual subject "* Silent Push Preemptive Cyber Defense Analysts recently uncovered an extensive network of domains associated with a long-term, ongoing web-skimmer
openai.com
En kampanj som avslöjades av Sansec och BleepingComputer i juni 2026 visar hur Magecart-aktörer återanvänder Stripes egen infrastruktur som en engångs-plattform för kommando och kontroll, samt slutpunkt för datastöld . Attacken laddar aldrig kod från en skadlig domän. Istället färdas laddaren, skimningsnyttolasten och den insamlade betalningsdatan alla via googletagmanager.com och api.stripe.com – två domäner så väsentliga för modern e-handel att praktiskt taget ingen butik blockerar eller granskar dem närmare . Vid sidan av denna kampanj sker ett aktivt utnyttjande av en separat, kritisk sårbarhet i WordPress-pluginet Everest Forms Pro (CVE-2026-3300), vilket låter oautentiserade angripare köra godtycklig PHP-kod och ta över sårbara webbplatser .
Så fungerar den trestegs Magecart-attacken via Stripe
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Magecart-skimrare gör om Stripe till en perfekt kamouflerad kommando- och kontrollserver"?
En ny Magecart kampanj, upptäckt av Sansec, använder Stripes eget test API för att både hämta skimnings JavaScript och lagra stulna kortuppgifter – hela attacken döljs bakom domäner som varje e handel litar på.
What are the key points to validate first?
En ny Magecart kampanj, upptäckt av Sansec, använder Stripes eget test API för att både hämta skimnings JavaScript och lagra stulna kortuppgifter – hela attacken döljs bakom domäner som varje e handel litar på. Attacken flödar helt via googletagmanager.com och api.stripe.com och vidrör aldrig en angriparstyrd domän, vilket gör den nästan osynlig för konventionella säkerhetsverktyg.
What should I do next in practice?
Som försvar krävs striktare kontroll av Google Tag Manager, att api.stripe.com tas bort från script src direktiv i Content Security Policy, samt att Everest Forms Pro omedelbart uppdateras till version 1.9.13 eller se...
Kampanjen kopplar samman tre steg, där varje steg missbrukar en legitim tjänst för att undgå upptäckt .
Steg 1: Injicera laddaren via Google Tag Manager
Angriparna komprometterar först en Google Tag Manager-container i målbutiken. De lägger in en skadlig tagg som laddas på varje sida. Eftersom skriptet kommer från googletagmanager.com, en betrodd analysdomän, går det förbi typiska Content Security Policies och annonsblockerare utan att väcka misstankar . GTM blir den oblockerbara leveransmekanismen.
Steg 2: Hämta skimraren från Stripes API
Istället för att anropa en skum tredjepartsserver begär GTM-taggen skimningsnyttolasten från api.stripe.com. Angriparna lagrar hela JavaScript-skimraren i ett metadatafält för kund på sitt eget Stripe-konto, och använder en hemlig testnyckel (sk_test_...) för att skriva och hämta den . Skimraren anländer från en domän som butiksoperatörer implicit litar på som en del av sin betalningsstack, så nätverksövervakning och CSP-regler flaggar sällan API-anropet.
Steg 3: Exfiltrera stulen data tillbaka till samma Stripe-konto
När en kund anger kreditkortsuppgifter, personlig information och faktureringsadresser i kassan, fångar den injicerade skimraren datan och skickar den tillbaka till angriparnas Stripe-konto. Informationen skrivs som falska kundposter eller metadataposter med hjälp av samma Stripe-API . Eftersom exfiltreringstrafiken går direkt tillbaka till api.stripe.com smälter den perfekt in i legitima betalnings-API-anrop, vilket gör stölden i praktiken osynlig för brandväggsloggar och verktyg för avvikelsedetektering .
Hela operationen har varit aktiv sedan åtminstone den 24 december 2025, enligt de indikatorer som forskarna sett .
Varför hemliga testnycklar är så farliga här
Stripes hemliga testnycklar (sk_test_...) ger full läs- och skrivåtkomst i sandlådemiljön och möjliggör obegränsat skapande av falska kunder och metadatafält utan kostnad . Eftersom testnycklar aldrig utlöser riktiga betalningar är deras missbruk lätt att förbise. Angriparna förlitar sig på att många organisationer behandlar testnycklar som låg risk och misslyckas med att granska sandlådeaktivitet med samma noggrannhet som de tillämpar på skarp trafik.
Ett relaterat men separat hot är exponering av skarpa hemliga nycklar, vilket skulle ge en angripare direkt åtkomst till verklig transaktionsdata och möjlighet att utfärda återbetalningar eller överföra pengar . Även om denna kampanj använder testnycklar för att smyga, är den underliggande principen densamma: Stripe API-nycklar, oavsett läge, är kraftfulla behörigheter som aldrig ska förekomma i klientkod eller Google Tag Manager-containrar .
CVE-2026-3300: Kritisk RCE i Everest Forms Pro
Medan Stripe-kampanjen riktar in sig på e-handelns kassaflöden, står WordPress-webbplatsägare inför ett lika akut hot från en plugin-sårbarhet som har utnyttjats aktivt sedan den 13 april 2026 .
CVE-2026-3300 är en oautentiserad sårbarhet för fjärrkörning av kod i Everest Forms Pro, som har ungefär 4 000 aktiva installationer . Sårbarheten har CVSS-poängen 9,8 och påverkar alla versioner upp till och med 1.9.12 .
Felet finns i funktionen process_filter() i tillägget Beräkning (Calculation). När funktionen "Komplex beräkning" är aktiverad tar pluginet användarlevererade värden från strängtypsfält, sammanfogar dem direkt i en PHP-kodsträng och skickar resultatet till eval() utan korrekt escaping . Funktionen sanitize_text_field() som tillämpas på indatan neutraliserar inte enkla citattecken eller andra tecken som har särskild betydelse i en PHP-kodkontext, vilket tillåter en angripare att bryta sig ur den avsedda strängen och injicera godtyckliga kommandon .
Wordfence har blockerat över 29 300 utnyttjandeförsök och rapporterar att angripare skapar obehöriga administratörskonton som en del av processen efter intrånget . Webbplatsägare bör leta efter indikatorer på intrång såsom nya administratörsanvändare med oväntade namn, ovanliga filer på servern eller misstänkta utgående anslutningar .
Skyddsåtgärder mot båda hoten
Blockera Magecart-attackkedjan mot Stripe
Lås Google Tag Manager. Begränsa GTM-containrar till endast godkända, granskade taggar och kräv strikt ändringshantering före publicering .
Strama åt din Content Security Policy. Lista inte api.stripe.com som en script-src om det inte är absolut nödvändigt. Om du måste inkludera den, tillämpa subresource integrity-hashar (SRI). Att blockera inline-skript ger ytterligare ett försvarslager .
Granska Stripes sandlådeaktivitet. Övervaka din Stripe-instrumentpanel för ovanliga volymer av skapande av kundobjekt eller metadataskrivningar under testnycklar. Behandla avvikelser i sandlådan med samma allvar som avvikelser i skarpt läge.
Rotera och skydda API-nycklar. Bädda aldrig in hemliga Stripe-nycklar – vare sig test eller skarpa – i JavaScript på klientsidan, GTM-variabler eller publika kodarkiv . Rotera alla nycklar som kan ha exponerats .
Använd övervakning på klientsidan. Använd integritetskontroller på webbläsarsidan som upptäcker DOM-manipulation på kassasidor av obehöriga skript .
Åtgärda sårbarheten i Everest Forms Pro
Uppdatera omedelbart. Uppgradera till Everest Forms Pro version 1.9.13 eller senare, som innehåller korrigeringen .
Inaktivera den riskabla funktionen om uppdatering försenas. Som en tillfällig lösning, stäng av funktionen "Komplex beräkning" i inställningarna för pluginet för att förhindra utnyttjande via oescapad eval()-indata .
Sök efter tecken på intrång. Leta efter okända administratörskonton, oväntade filer, misstänkta eval()-anrop och utgående nätverksanslutningar till okända IP-adresser. En fullständig integritetskontroll av WordPress-filchecksummor för kärna, tema och plugin är avgörande efter sanering .
Comments
0 comments