Magecart, Stripe'ı Kusursuz Kamufle Olmuş Bir Komuta ve Kontrol Sunucusuna Dönüştürdü
Sansec tarafından keşfedilen yeni bir Magecart kampanyası, kredi kartı çalan JavaScript kodunu barındırmak ve çalınan verileri depolamak için Stripe'ın test modu API'sini kullanıyor. Saldırı tamamen googletagmanager.com ve api.stripe.com üzerinden akıyor; saldırganların kontrol ettiği bir alan adına hiç temas etmiyor.
What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration pThe skimmer never loads from a malicious domain. The loader, the payload, and the stolen cards all move through googletagmanager.com and api.stripe.com. Image: OpenAI / Studio Global.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What is the newly discovered Magecart campaign that exploits Stripe's infrastructure as a command-and-control server and data exfiltration p. Article summary: Below is a detailed breakdown of both active threats.. Topic tags: general, government, general web, documentation, user generated. Reference image context from search candidates: Reference image 1: visual subject "Cybersecurity researchers at Silent Push Preemptive Cyber Defense have uncovered an extensive and sophisticated web-skimming campaign that has been actively stealing credit card da" source context "New Magecart Campaign Steals Credit Card Details During Online Checkouts" Reference image 2: visual subject "* Silent Push Preemptive Cyber Defense Analysts recently uncovered an extensive network of domains associated with a long-term, ongoing web-skimmer
openai.com
Haziran 2026'da Sansec ve BleepingComputer tarafından ifşa edilen bir kampanya, Magecart aktörlerinin Stripe'ın kendi altyapısını tek kullanımlık bir komuta-kontrol sunucusu ve veri sızdırma noktası olarak kullandığını ortaya koyuyor . Saldırı, asla kötü amaçlı bir alan adından kod yüklemiyor. Bunun yerine, yükleyici, bilgi çalan kod ve toplanan ödeme verilerinin tamamı googletagmanager.com ve api.stripe.com üzerinden seyahat ediyor. Bu iki alan adı, modern e-ticaret için o kadar kritik ki neredeyse hiçbir mağaza bu trafiği engellemiyor veya yakından incelemiyor . Bu kampanyanın yanı sıra, WordPress için Everest Forms Pro eklentisindeki kritik bir güvenlik açığı (CVE-2026-3300), saldırganların kimlik doğrulaması olmadan rastgele PHP kodu çalıştırmasına ve savunmasız siteleri ele geçirmesine olanak tanıyarak aktif olarak istismar ediliyor .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "Magecart, Stripe'ı Kusursuz Kamufle Olmuş Bir Komuta ve Kontrol Sunucusuna Dönüştürdü"?
Sansec tarafından keşfedilen yeni bir Magecart kampanyası, kredi kartı çalan JavaScript kodunu barındırmak ve çalınan verileri depolamak için Stripe'ın test modu API'sini kullanıyor.
What are the key points to validate first?
Sansec tarafından keşfedilen yeni bir Magecart kampanyası, kredi kartı çalan JavaScript kodunu barındırmak ve çalınan verileri depolamak için Stripe'ın test modu API'sini kullanıyor. Saldırı tamamen googletagmanager.com ve api.stripe.com üzerinden akıyor; saldırganların kontrol ettiği bir alan adına hiç temas etmiyor.
What should I do next in practice?
Savunma için Google Tag Manager erişiminin sıkılaştırılması, İçerik Güvenliği Politikası'nda (CSP) api.stripe.com'un script kaynaklarından çıkarılması ve Everest Forms Pro eklentisinin 1.9.13 sürümüne acilen güncellen...
Magecart, Stripe'ı Kusursuz Kamufle Olmuş Bir Komuta ve Kontrol Sunucusuna Dönüştürdü | Answer | Studio Global AI
Üç aşamalı Stripe Magecart saldırısı nasıl çalışıyor?
Bu kampanya, tespit edilmekten kaçınmak için her biri meşru bir hizmeti kötüye kullanan üç aşamayı birbirine zincirliyor .
Aşama 1: Yükleyiciyi Google Tag Manager ile enjekte etme
Saldırganlar öncelikle hedef mağazadaki bir Google Tag Manager (GTM) konteynerini ele geçiriyor. Her sayfada yüklenen kötü amaçlı bir etiket yerleştiriyorlar. Kod, güvenilir bir analitik alan adı olan googletagmanager.com kaynaklı olduğu için, tipik İçerik Güvenliği Politikalarını (CSP) ve reklam engelleyicileri alarm vermeden aşıyor . GTM, engellenemez bir dağıtım mekanizması haline geliyor.
Aşama 2: Bilgi çalan kodu Stripe'ın API'sinden çağırma
GTM etiketi, şüpheli üçüncü taraf bir sunucuya yönlenmek yerine, bilgi çalan JavaScript kodunu api.stripe.com adresinden talep ediyor. Saldırganlar, JavaScript kodunun tamamını kendi Stripe hesaplarındaki bir Müşteri meta veri alanında saklıyor ve bunu yazıp okumak için bir test modu gizli anahtarı (sk_test_...) kullanıyor . Kod, mağaza operatörlerinin ödeme altyapılarının bir parçası olarak zımnen güvendiği bir alan adından geldiği için, ağ izleme ve CSP kuralları bu API çağrısını nadiren işaretliyor.
Aşama 3: Çalınan verileri aynı Stripe hesabına geri sızdırma
Bir müşteri ödeme sayfasında kredi kartı bilgilerini, kişisel verilerini ve fatura adresini girdiğinde, enjekte edilen kod bu verileri yakalıyor ve saldırganların Stripe hesabına geri gönderiyor. Bilgileri, aynı Stripe API'sini kullanarak sahte Müşteri kayıtları veya meta veri girişleri olarak yazıyor . Sızma trafiği doğrudan api.stripe.com adresine geri döndüğü için, meşru ödeme API çağrılarıyla kusursuz bir şekilde harmanlanıyor ve hırsızlığı güvenlik duvarı kayıtları ve anomali tespit araçları için neredeyse görünmez kılıyor .
Araştırmacılar tarafından görülen göstergelere göre, tüm operasyon en az 24 Aralık 2025'ten beri aktif durumda .
Test modu gizli anahtarları neden burada bu kadar tehlikeli?
Stripe'ın test modu gizli anahtarları (sk_test_...), korumalı alan ortamında tam okuma ve yazma erişimi sağlar ve hiçbir ücret ödemeden sınırsız sayıda sahte müşteri ve meta veri alanı oluşturulmasına izin verir . Test anahtarları asla gerçek ödeme tetiklemediği için, kötüye kullanımlarını fark etmek kolaydır. Saldırganlar, birçok kuruluşun test anahtarlarını düşük riskli olarak gördüğü ve korumalı alan etkinliğini canlı trafiğe uyguladıkları titizlikle denetlemediği gerçeğine güvenmektedir.
İlgili ancak ayrı bir tehdit, canlı gizli anahtarların ifşa edilmesidir; bu, bir saldırgana gerçek işlem verilerine doğrudan erişim ve para iadesi yapma veya fon transfer etme yetkisi verir . Bu kampanya gizlilik için test modu anahtarlarını kullanırken, temel prensip aynıdır: Stripe API anahtarları, hangi modda olursa olsun, istemci tarafı kodda veya Google Tag Manager konteynerlerinde asla görünmemesi gereken güçlü kimlik bilgileridir .
CVE-2026-3300: Everest Forms Pro'da Kritik Uzaktan Kod Çalıştırma Açığı
Stripe odaklı kampanya e-ticaret ödeme akışlarını hedef alırken, WordPress site sahipleri 13 Nisan 2026'dan beri aktif olarak istismar edilen bir eklenti açığı nedeniyle eşit derecede acil bir tehditle karşı karşıya .
CVE-2026-3300, Everest Forms Pro eklentisinde (yaklaşık 4.000 aktif kuruluma sahip) kimlik doğrulaması gerektirmeyen bir uzaktan kod çalıştırma (RCE) açığıdır . CVSS ölçeğinde 9.8 puan alan açık, 1.9.12 sürümüne kadar olan tüm sürümleri etkilemektedir .
Hata, Hesaplama eklentisinin içindeki process_filter() fonksiyonunda bulunur. "Karmaşık Hesaplama" özelliği etkinleştirildiğinde, eklenti kullanıcı tarafından gönderilen metin tipi form alanı değerlerini alır, bunları doğrudan bir PHP kod dizgesiyle birleştirir ve uygun şekilde kaçış karakteri uygulamadan sonucu eval() fonksiyonuna iletir . Girdiye uygulanan sanitize_text_field() fonksiyonu, tek tırnak işaretlerini veya PHP kod bağlamında özel anlam taşıyan diğer karakterleri etkisiz hale getirmez; bu da bir saldırganın amaçlanan dizgeden kaçmasına ve rastgele komutlar enjekte etmesine olanak tanır .
Wordfence, 29.300'den fazla istismar girişimi engelledi ve saldırganların kalıcı erişim sağlamak için yetkisiz yönetici hesapları oluşturduğunu bildiriyor . Site sahipleri, beklenmedik isimlere sahip yeni yönetici kullanıcıları, sunucudaki olağandışı dosyalar veya şüpheli dış bağlantılar gibi tehlike göstergelerini aramalıdır .
Her iki tehdide karşı savunma önlemleri
Stripe Magecart saldırı zincirini engelleme
Google Tag Manager'ı kilitleyin. GTM konteynerlerini yalnızca onaylanmış, denetlenmiş etiketlerle sınırlandırın ve yayınlamadan önce sıkı bir değişiklik yönetimi onayı isteyin .
İçerik Güvenliği Politikanızı (CSP) sıkılaştırın. Kesinlikle gerekli olmadıkça api.stripe.com'u bir script-src olarak listelemeyin. Eklemek zorundaysanız, alt kaynak bütünlüğü (SRI) karmalarını zorunlu kılın. Satır içi komut dosyalarını engellemek ek bir savunma katmanı sağlar .
Stripe korumalı alan etkinliğini denetleyin. Stripe kontrol panelinizi, test modu anahtarları altında olağandışı Müşteri nesnesi oluşturma veya meta veri yazma hacimleri için izleyin. Korumalı alan anomalilerine, canlı moddaki anomalilerle aynı ciddiyetle yaklaşın.
API anahtarlarını döndürün ve koruyun. Stripe gizli anahtarlarını — ister test ister canlı olsun — asla istemci tarafı JavaScript'e, GTM değişkenlerine veya herkese açık depolara yerleştirmeyin . Açığa çıkmış olabilecek tüm anahtarları hemen yenileyin .
İstemci tarafı izleme devreye alın. Yetkisiz betiklerin ödeme sayfalarındaki DOM manipülasyonunu tespit eden tarayıcı tarafı bütünlük kontrolleri kullanın .
Everest Forms Pro açığını yamalayın
Hemen güncelleyin. Düzeltmeyi içeren Everest Forms Pro sürüm 1.9.13 veya daha üstüne yükseltin .
Yama ertelenirse riskli özelliği devre dışı bırakın. Kaçış karakteri uygulanmamış eval() girdisi yoluyla istismarı önlemek için geçici bir çözüm olarak, eklenti ayarlarında "Karmaşık Hesaplama" özelliğini kapatın .
Ele geçirme belirtileri için tarama yapın. Bilinmeyen yönetici hesaplarını, beklenmedik dosyaları, şüpheli eval() çağrılarını ve tanıdık olmayan IP'lere yapılan dış ağ bağlantılarını arayın. Düzeltme sonrasında WordPress çekirdeği, tema ve eklenti dosya sağlama toplamlarının tam bütünlük kontrolü şarttır .
Comments
0 comments