电商支付页面又多了一种隐秘失血方式。
荷兰安全公司Sansec本周披露,一款新型支付窃取器利用WebRTC数据通道加载载荷并外传卡信息,直接绕过内容安全策略CSP。传统Magecart多靠HTTP请求或图片信标,这次改走加密UDP通道,网络监控工具基本抓瞎。
攻击先通过PolyShell漏洞入侵。PolyShell影响Magento Open Source和Adobe Commerce所有稳定版2.x,直至2.4.9-alpha2。攻击者无需认证,就能通过REST API上传任意可执行文件,伪装成图片实现代码执行或存储型XSS。3月19日起,PolyShell遭大规模扫描,超50个IP参与。Sansec统计,56.7%的易受攻击商店已中招。
具体到这次事件,一家市值超1000亿美元的车企电商站被盯上。窃取器脚本自动执行,先建WebRTC对等连接,直连硬编码IP 202.181.177.177的UDP 3479端口。连接建立后,下载第二阶段JavaScript,注入页面偷取支付表单数据。整个过程用DTLS加密UDP传输,避开HTTP检查。即使站点设置了严格CSP,禁止所有未授权外部连接,WebRTC通道仍能畅通无阻。
Sansec报告里直言:“启用严格CSP的商店,对WebRTC外传依然门户大开。”流量不走HTTP,安全设备很难察觉。脚本还用requestIdleCallback延迟执行,进一步降低检测概率。车企站点至今未回应Sansec的通报,风险仍在。
Adobe早在3月10日放出2.4.9-beta1修复PolyShell,但生产环境版本还没覆盖。站点管理员眼下只能手动操作:封禁pub/media/custom_options/目录,全面扫描webshell、后门和恶意脚本。否则,支付数据继续悄无声息流失。
这不是孤立事件。电商平台用Magento的占比不低,尤其老版本升级慢。PolyShell一出,等于给攻击者开了上传后门。结合WebRTC新手法,窃取效率更高、隐蔽性更强。过去靠域名解析或图片外传的Magecart,现在多了加密通道选项,防御门槛直接抬高。
比特币市场这边,BTC现报$69,859(跌2.06%),ETH现报$2,115(跌2.98%),整体加密氛围偏冷,但黑产对真实支付数据的胃口从没减弱。车企这种大厂都中招,小型独立站风险只高不低。
WebRTC本是浏览器实时通信技术,用于视频聊天、文件传输,现在被恶意利用,暴露了现代web安全的一大盲区。网络层工具专注HTTP流量,浏览器端CSP又管不住WebRTC数据通道,中间地带成了真空。
攻击链条简单粗暴:先PolyShell拿权限,再植入WebRTC加载器,最后偷卡外传。整个过程几乎不留HTTP痕迹,日志里难见异常。站点运维如果只盯着访问日志和WAF规则,很容易漏网。
类似手法未来大概率扩散。攻击者手里已有现成脚本,PolyShell扫描还在继续,更多Magento商店会成为目标。支付行业每年因skimming损失数十亿美元,这次新变种只会推高数字。
站点自查刻不容缓。升级到最新beta版前,至少把上传目录锁死,定期扫恶意文件。开发者也该想想,怎么在CSP里更细粒度限制WebRTC,或者引入客户端行为监控。支付页面每多一秒暴露,就多一分卡数据被卖到暗网的风险。
车企这次吃亏,提醒整个电商链条:技术迭代快,黑产跟进更快。别等数据真丢了,才后悔没早堵上这个UDP通道。