文章总结： 安全研究人员发现由50多个恶意脚本组成的大型Magecart攻击网络，专门针对支付结账和账户注册流程实施数据窃取。攻击采用模块化定制负载伪装成主流支付网关，通过伪造域名分发恶意代码，窃取范围从信用卡信息扩展到完整身份凭证。防御建议包括部署内容安全策略、实施实时支付监控和加强第三方脚本审计。 综合评分： 85 文章分类： 恶意软件,数据泄露,漏洞分析,安全运营,解决方案

【安全圈】超 50 个恶意脚本组成大型 Magecart 攻击网络，劫持支付结账与账户注册流程

安全圈

2026年1月3日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

数据泄露

一场规模空前的网络侧录攻击席卷全球网络，专门针对网购用户及账户注册用户发起攻击。安全研究人员发现，这场全球性攻击行动动用了 50 多个恶意脚本，在用户支付结账与账户注册环节拦截敏感信息，标志着网络犯罪分子攻击电商平台的手段已大幅升级 —— 从单纯窃取信用卡信息，演变为窃取用户完整身份信息。

一、攻击核心特征与技术手段

1. 模块化定制负载

   ：攻击者针对 Stripe、Mollie、PagSeguro、OnePay、PayPal 等主流支付网关开发专属恶意程序模块，使恶意代码能与合法支付界面完美融合，大幅降低安全团队与用户的检测难度。

2. 伪装域名与传播网络

   ：Source Defense Research查明攻击者搭建了复杂的域名网络用于分发和控制攻击，如googlemanageranalytic.com、gtm-analyticsdn.com、jquery-stupify.com等域名均伪装成常用分析工具或脚本库，以规避怀疑。

3. 多元攻击向量与反取证

• 注入虚假支付表单，构建逼真钓鱼界面；采用静默侧录技术，在用户输入时秘密记录信息。
• 内置隐藏表单输入、生成符合卢恩算法的无效信用卡号等反取证手段，阻碍事件响应与分析。

1. 攻击目标全面升级

   ：不再局限于信用卡信息，还主动窃取用户登录凭证、个人身份信息与邮箱地址，进而发起账户劫持攻击，通过创建恶意管理员账户获取长期控制权，实现从单纯盗刷到全面身份盗用的转变。

二、攻击影响与持久化机制

该攻击已发展为成熟的长期驻留攻击模式：攻击者窃取凭证并获取管理员权限后，可长期控制受影响网站，持续从各类交易流程中窃取数据。对电商企业而言，此类攻击不仅会造成用户数据泄露，还可能因长期数据窃取导致巨额经济损失与声誉崩塌。

三、防御建议

电商平台运营方需强化客户端安全防护，具体措施包括：

1. 部署内容安全策略（CSP），限制脚本执行权限。
2. 实施实时支付表单监控，提前拦截恶意注入代码。
3. 加强第三方脚本审计，采用子资源完整性（SRI）验证机制，确保外部脚本来源可信。

END

阅读推荐

【安全圈】17岁少年借助 ChatGPT 实施黑客攻击，725万用户信息遭泄露

【安全圈】非法入侵信息系统并向境外倒卖数据，2人被刑拘

【安全圈】多款 Chrome 插件暗中读取 ChatGPT 与 DeepSeek 对话记录

【安全圈】29岁黑客制作Win11激活工具，已感染280万设备【安全圈】欧洲航天局确认外部服务器遭入侵

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】超 50 个恶意脚本组成大型 Magecart 攻击网络，劫持支付结账与账户注册流程》