文章总结： 安全研究人员发现针对全球支付网络的长期Magecart攻击活动。攻击者入侵使用WooCommerce和Stripe的电商网站，注入恶意JS代码，用虚假iframe替换合法支付表单窃取信用卡数据。该活动自2022年起活跃，具备自毁机制以规避管理员检测，影响范围极广。 综合评分： 85 文章分类： 威胁情报,Web安全,数据泄露,恶意软件,漏洞分析

Magecart再度来袭，长期网络窃密活动瞄准全球支付网络

FreeBuf

2026年1月15日 18:37 上海

安全研究人员发现一起持续活跃的大规模网络窃密活动，该活动针对在线零售商的结账页面，悄无声息地窃取毫无戒备的消费者信用卡数据。这项被统称为”Magecart”的复杂攻击行动至少自2022年1月起就开始活跃，通过入侵电商网站来拦截流向美国运通、万事达和发现卡等主要支付网络的交易。

Part01

攻击手法分析

该发现来自Silent Push先发网络防御分析团队，他们识别出一个支撑这场长达数年欺诈活动的庞大恶意域名网络。攻击本质上是一种数字障眼法——威胁分子入侵使用WooCommerce和Stripe的电商网站后，注入恶意JavaScript代码。这些代码会潜伏至用户访问结账页面时激活。

研究报告指出，恶意软件”会确保隐藏合法的Stripe支付表单”，并用”一个恶意iframe取而代之，其中渲染了具有合法外观变量名、标题和样式的虚假Stripe支付表单”。由于伪造表单完美模仿了真实版本（甚至包含葡萄牙语等本地化支持），消费者毫无察觉。

Part02

隐蔽的数据窃取机制

该活动的阴险之处在于其数据窃取方式：当受害者在虚假表单中输入信息并提交时，数据会被加密外泄至犯罪服务器。随后恶意软件立即清除痕迹——移除伪造表单、恢复真实表单，并模拟点击”提交订单”按钮。由于真实表单此时为空（用户填写的是虚假版本），网站将显示支付错误。

分析人员解释：”购物者会以为是自己输错了支付信息，完全意识不到已遭窃取。他们会重新输入凭证继续完成交易。”恶意代码作者还采用MutationObserver监控网页变化，确保仅在完美条件下触发，并包含自毁机制：当检测到DOM中存在wpadminbar元素（管理员登录状态）时，代码会自动移除，使网站所有者难以在常规检查中发现感染。

Part03

庞大的攻击基础设施

该活动基础设施极为稳固，采用”防弹”托管保持命令控制服务器在线。攻击目标涵盖美国运通、大来卡、发现卡、JCB、万事达和银联六大支付服务商，潜在受害者规模巨大。报告强调”该威胁团伙展现出极强的持久作战能力”，这场攻击活动已持续数年，最早可追溯至2022年初。

参考来源：

“Magecart” Strikes Again: Long-Running Web Skimming Campaign Targets Global Payment Networks

“Magecart” Strikes Again: Long-Running Web Skimming Campaign Targets Global Payment Networks

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Magecart再度来袭，长期网络窃密活动瞄准全球支付网络》