黑客又来了!电商系统Magento被植入恶意代码

Magento是一套专业开源的电子商务系统，被众多电商网站广泛使用，在全球范围内使用者超过24万，包括eBay，是广受赞誉的全球最优秀的电子商务系统。但最近，安全研究人员发现有黑客在Magento平台植入恶意代码来窃取信用卡数据。

雨果网获悉，安全公司Sucuri研究者表示，攻击者能够收集到用户向Magento平台提交的所有数据，然后仔细过滤掉那些不像信用卡数据的信息。

Sucuri恶意软件高级研究员Peter Gramantik表示，攻击者将恶意代码注入到Magento中，但具体流程还不清楚。攻击者们似乎在利用Magento核心或者是某个广泛使用的模块/插件中的漏洞。

攻击者能够收集所有的POST请求，对它们进行分析，然后使用公钥加密他们。如果POST参数符合要求，攻击者就会把他们储存下来。

窃取来的信用卡数据则保存在一个假的图片文件夹里。这些图片并不能显示，用户也无法下载。但是攻击者可以下载并解密，然后获悉Magento商务平台上的所有支付信息。

Sucuri还发现了另一种从Magento窃取数据的方法，没有上一种复杂，当然效果也要打折扣。攻击者将恶意代码样本注入到Magento的结帐模块中。这段恶意代码显示，信用卡数据在交易之前就已经被搜集，然后以纯文本形式被发送给攻击者。

这些攻击者似乎非常了解Magento的工作模式。“攻击者熟悉模块运行的方式和代码，利用模块中储存的未经保护的敏感数据窃取信息。”（编译/雨果网 唐小玉 译审 何志勇）

轻松掌握跨境电商与外贸资讯，请下载【雨果网】APP或关注微信号【cifnews】