Magecart kampanja zlorabi Stripe za pohranu ukradenih podataka o karticama

Istraživači iz sigurnosne tvrtke Sansec otkrili su novu Magecart kampanju koja koristi Stripeovu API infrastrukturu za hostanje zlonamjernog koda i podataka ukradenih s checkout stranica. Prema njihovom opisu, cijela se aktivnost oslanja na Google Tag Manager i Stripe domene, googletagmanager.com i api.stripe.com, koje internetske trgovine često implicitno smatraju pouzdanima.

Sansec navodi da se zlonamjerni kod učitava iz Google Tag Manager (GTM) kontejnera i izvršava na svakoj stranici koja ga učita. Kada kupac dođe do checkout stranice, kod aktivira Stripeov API za određeni korisnički zapis, a iz njegovih polja metapodataka dohvaća JavaScript koji potom ponovno sastavlja i izvršava pomoću new Function().

Napad je usmjeren na Magento i Adobe Commerce checkout stranice te pokušava prikupiti podatke o plaćanju, uključujući broj kreditne kartice, datum isteka, CVV kod, ime kupca, kao i adresu za naplatu, e-mail adresu i broj telefona. Ukradeni podaci se zatim spajaju u jedan niz, prikrivaju XOR operacijom i privremeno spremaju lokalno, umjesto da se odmah šalju van.

Sansec kaže da se dohvaćanje podataka odvija kroz zasebnu rutinu koja se pokreće odmah nakon učitavanja stranice i zatim svake minute. Ta rutina dijeli podatkovni blob na dva dijela, stvara novi Stripe customer objekt i ukradene podatke upisuje u polja metapodataka. Na taj način svaka ukradena kartica postaje lažni korisnički zapis u napadačevu Stripe računu, a lokalna datoteka se nakon kopiranja briše kako bi se uklonili tragovi i spriječilo dvostruko slanje.

Istraživači su otkrili i varijantu napada u kojoj se umjesto Stripea koristi Google Firestore, servis za pohranu podataka i dohvaćanje u stvarnom vremenu. U toj verziji payload se dohvaća iz Firestore dokumenta nazvanog tracking/captcha u projektu braintree-payment-app, dok se ukradeni podaci spremaju u drugu localStorage ključnu oznaku (_d_data_customer_). Nazivi dokumenta i projekta, prema Sansecu, pomažu zlonamjernom kodu da se uklopi u legitimni promet povezan s plaćanjem i zaštitom od botova.

Sansec navodi i da je Stripe customer zapis koji je sadržavao skimmer navodno stvoren 24. prosinca 2025., što sugerira da je operacija mogla biti aktivna najmanje od tog datuma. Kao zaštitu od takvih rizika navode korištenje jednokratnih virtualnih kartica s postavljenim limitima.