Magecart攻击持续升级：长期潜伏如何精准窃取全球支付数据

这场活动最危险的地方，在于其窃取数据的手段极其隐蔽：当受害者在伪造的支付页面输入个人信息并提交时，数据会先被加密，然后直接发送给犯罪团伙控制的服务器。

网络安全研究人员发现了一起长期活跃的大规模网络窃密活动，它专门针对零售电商网站的结账页面，悄无声息地盗取毫无防备的消费者的信用卡信息。这项被称作“Magecart”的复杂攻击行动至少从2024年1月就已开始活跃，通过入侵电商网站，来拦截流向美国运通、万事达和发现卡等主流支付网络的交易信息。

攻击手法剖析

这一发现源自Silent Push的主动防御分析团队，他们识别出一个支撑了这场长达数年诈骗活动的庞大恶意域名网络。攻击本质上是一种数字障眼法——威胁分子在入侵使用WooCommerce和Stripe系统的电商网站后，会植入恶意的JavaScript代码。这些代码会潜伏下来，直到用户访问结账页面时才被激活。

研究报告指出，恶意软件“会确保隐藏掉合法的Stripe支付表单”，并用“一个恶意iframe取而代之，其中渲染了具有合法外观变量名、标题和样式的伪造版Stripe支付表单”。由于伪造表单完美模仿了真实版本（甚至包含葡萄牙语等本地化支持），消费者毫无察觉。

隐蔽的数据窃取机制

此次行动的阴险之处在于其数据窃取流程：当受害者在虚假表单中输入信息并提交时，数据会被加密并外泄至犯罪服务器。随后恶意软件立即清除痕迹——移除伪造表单、恢复真实表单，并模拟点击“提交订单”按钮。由于此时真实表单为空（用户填写的是虚假版本），网站便会显示支付失败。

分析人员解释道：“购物者会误以为自己输错了支付信息，完全意识不到已遭窃取。他们会重新输入凭证以完成交易。”恶意代码作者还采用MutationObserver监控网页变化，确保仅在完美条件下触发，并包含自毁机制：当检测到DOM中存在wpadminbar元素（管理员登录状态）时，代码会自动移除，使所有者难以在常规检查中发现感染迹象。

庞大的攻击基础设施

该活动的基础设施极为稳固，采用“防弹”托管来保持命令控制服务器在线。攻击目标覆盖美国运通、大来卡、发现卡、JCB、万事达和银联这六大支付服务商，潜在受害者规模巨大。报告强调“该威胁团伙展现出极强的持久作战能力”，这场攻击活动已持续数年，最早可追溯至2024年初。