Magecart abuse Stripe et Google Tag Manager comme infrastructure C2 et exfiltration

Sat, 13 Jun 2026 00:00:00 +0000

🔍 Contexte

Publié le 4 juin 2026 par la Sansec Forensics Team, cet article de recherche documente une famille Magecart inédite qui détourne deux services cloud légitimes — Google Tag Manager (GTM) et Stripe — comme infrastructure de commande et d’exfiltration, rendant la détection par CSP ou filtres réseau quasi impossible.

⚙️ Mécanisme d’attaque

L’attaque se décompose en trois phases :

Livraison du code : Un loader est injecté dans un vrai conteneur GTM (GTM-P6KZMF63 et autres). Sur les pages de checkout, il récupère le skimmer depuis les métadonnées d’un client Stripe (cus_TfFjAAZQNOYENR) et l’exécute via new Function() (RCE arbitraire côté client).
Collecte : Le skimmer se greffe sur le bouton de checkout Magento/Adobe Commerce, capture les champs de carte (numéro, expiration, CVV), l’adresse de facturation et le total de commande, encode les données en XOR avec la clé EGAU3X9PAMJ8RYRNJSPV, et les stocke dans localStorage sous la clé cus_customer_id.
Exfiltration : 1 seconde après chaque chargement de page, puis toutes les 60 secondes, les données sont envoyées à l’API Stripe (api.stripe.com/v1/customers) sous forme de faux client, avec les données volées réparties dans les champs metadata[customer_id] et metadata[device_id].

🗝️ Clé Stripe exposée

Chaque loader embarque une clé secrète Stripe en clair (sk_test_51Shuxz4fAPbvfTkr[...]) dans le JavaScript côté client. Le préfixe sk_test_ indique l’utilisation du mode test Stripe, exploité comme infrastructure gratuite et durable.

GTM-MSDHV3HG on CyberVeille

Magecart abuse Stripe et Google Tag Manager comme infrastructure C2 et exfiltration

🔍 Contexte

⚙️ Mécanisme d’attaque

🗝️ Clé Stripe exposée