HackerNews 编译,转载请注明出处:
近日,欧洲航天局(ESA)官方网店成为黑客的攻击目标。攻击者在结账环节植入了恶意JavaScript代码,制造了一个假冒的Stripe支付页面。
欧洲航天局致力于拓展太空探索边界,通过培训宇航员和研发火箭、卫星等设备,深入探索宇宙奥秘,其预算超过100亿欧元。
目前,ESA网店已暂停服务,页面显示“暂时脱离轨道”。该恶意脚本已收集顾客信息,包括支付卡数据等敏感内容。
电子商务安全专家Sansec昨日发现此恶意脚本,并发出警告,称网店系统与ESA内部系统可能存在集成,这或将威胁到ESA员工的安全。
Sansec发现,窃取信息的域名与官方销售ESA商品的网店域名相同,但使用了不同的顶级域(TLD)。
虽然欧洲航天局的官方商店使用“.com”后缀的“esaspaceshop”域名,但黑客使用的是相同的名称,且顶级域名为“.pics”(即esaspaceshop[.]pics),这一点在ESA商店的源代码中可以看到:
恶意JavaScript代码注入到ESA网店
该脚本包含了来自Stripe SDK的混淆HTML代码,当客户尝试完成购买时,加载了一个虚假的Stripe支付页面。
值得注意的是,虚假的Stripe页面并不显得可疑,尤其是在它从ESA官方网店加载时。
虚假的Stripe支付页面显示在ESA网店中
网络应用安全公司Source Defense Research确认了Sansec的发现,并监测到ESA官方网店曾加载了虚假的Stripe支付页面。
BleepingComputer昨日就此事向ESA求证。在收到回复前,我们发现网店虽已撤下虚假支付页面,但恶意脚本仍潜藏在网站源代码中。
ESA后续回应称,该网店并未托管在其基础设施上,且机构不管理商店数据,因不拥有这些数据。这一信息通过whois查询得到验证,查询显示了ESA域名(esa.int)及其网店的完整信息,但出于隐私保护,联系数据已被隐藏。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
