Magecart

🔍 Contexte Publié le 4 juin 2026 par la Sansec Forensics Team, cet article de recherche documente une famille Magecart inédite qui détourne deux services cloud légitimes — Google Tag Manager (GTM) et Stripe — comme infrastructure de commande et d’exfiltration, rendant la détection par CSP ou filtres réseau quasi impossible. ⚙️ Mécanisme d’attaque L’attaque se décompose en trois phases : Livraison du code : Un loader est injecté dans un vrai conteneur GTM (GTM-P6KZMF63 et autres). Sur les pages de checkout, il récupère le skimmer depuis les métadonnées d’un client Stripe (cus_TfFjAAZQNOYENR) et l’exécute via new Function() (RCE arbitraire côté client). Collecte : Le skimmer se greffe sur le bouton de checkout Magento/Adobe Commerce, capture les champs de carte (numéro, expiration, CVV), l’adresse de facturation et le total de commande, encode les données en XOR avec la clé EGAU3X9PAMJ8RYRNJSPV, et les stocke dans localStorage sous la clé cus_customer_id. Exfiltration : 1 seconde après chaque chargement de page, puis toutes les 60 secondes, les données sont envoyées à l’API Stripe (api.stripe.com/v1/customers) sous forme de faux client, avec les données volées réparties dans les champs metadata[customer_id] et metadata[device_id]. 🗝️ Clé Stripe exposée Chaque loader embarque une clé secrète Stripe en clair (sk_test_51Shuxz4fAPbvfTkr[...]) dans le JavaScript côté client. Le préfixe sk_test_ indique l’utilisation du mode test Stripe, exploité comme infrastructure gratuite et durable. ...

🔍 Contexte Le 7 avril 2026, l’équipe Sansec Forensics a publié une analyse technique détaillant une campagne Magecart de masse ayant compromis 99 boutiques Magento en quelques heures. L’article, publié sur sansec.io, décrit un skimmer de carte bancaire sophistiqué exploitant une technique d’injection inédite via des éléments SVG. 🎯 Vecteur d’entrée et méthode d’injection Le vecteur d’entrée probable est la vulnérabilité PolyShell (upload de fichier non restreint dans Magento/Adobe Commerce), qui continue d’affecter les boutiques non protégées. L’attaquant injecte un élément SVG de 1x1 pixel dans le HTML de la boutique, dont le gestionnaire onload contient l’intégralité du payload skimmer encodé en base64 via atob() et exécuté via setTimeout. Cette technique évite toute référence à un script externe, contournant ainsi les scanners de sécurité classiques. ...

Source : Sansec Forensics Team (Threat Research), avis publié le 15 janvier 2026. Sansec rapporte avoir détecté un keylogger sur la boutique de produits dérivés destinée aux employés d’une des trois plus grandes banques américaines, active environ 18 heures avant retrait. L’attaque consiste en un keylogger/skimmer JavaScript côté client sur une boutique e‑commerce interne utilisée par 200 000+ employés. Le malware intercepte toutes les données de formulaire (identifiants, informations personnelles, numéros de cartes). Sansec souligne un écart de détection: au moment de la publication, 1/97 moteurs sur VirusTotal détectaient l’infrastructure malveillante. ...

Source: Recorded Future / Insikt Group. Dans un rapport publié le 28 août 2025, le chercheur détaille les tendances vulnérabilités et malwares observées au 1er semestre 2025, avec un focus sur l’exploitation des systèmes exposés, l’évolution des outils et TTPs, et les menaces mobiles et e‑commerce. Principaux constats vulnérabilités: 23 667 CVE publiées (+16% vs H1 2024), 161 vulnérabilités activement exploitées dont 42% avec PoC public, 69% sans authentification et 30% RCE. Microsoft concentre le plus grand nombre d’exploits (17% des cas), à égalité avec les appliances périmétriques (SSL‑VPN, NGFW, portails d’accès). Plus de la moitié des exploitations attribuées impliquent des acteurs étatiques; les failles d’Ivanti sont particulièrement visées (ex. CVE‑2025‑0282). Post‑exploitation, Cobalt Strike domine, suivi de Vshell RAT; les backdoors représentent ~23% des charges. ...