网络安全公司Sucuri报告显示，攻击者利用Google Tag Manager (GTM)向基于Magento的电商网站植入信用卡窃取恶意软件。这些伪装成常规网站分析脚本的恶意代码，实则包含后门，使攻击者获得持续访问权限。恶意软件从Magento数据库加载，GTM标签中的编码JavaScript负载充当信用卡窃取器，窃取用户结账时输入的敏感数据并发送至攻击者控制的服务器。这并非GTM首次被用于恶意目的，凸显了电商网站面临的安全风险。

⚠️ **GTM成攻击新入口**：攻击者利用Google Tag Manager (GTM)作为传播恶意软件的新途径，专门针对基于Magento的电商网站。

💳 **信用卡信息窃取**：恶意软件伪装成GTM和Google Analytics脚本，实际包含混淆的后门，用于窃取用户在结账过程中输入的信用卡信息，并发送到攻击者控制的远程服务器。

💾 **恶意代码来源**：恶意软件从Magento数据库表 “cms_block.content” 中加载，GTM标签包含编码的JavaScript负载。

🛡️ **安全风险升级**：这并非GTM首次被用于恶意目的，表明电商网站面临的网络安全风险日益严峻，需要加强安全防护。

HackerNews 编译，转载请注明出处：

据网络安全公司 Sucuri 报告，威胁行为者正在利用 Google Tag Manager（GTM）向基于 Magento 的电商网站部署信用卡窃取恶意软件。

这些恶意代码表面上看似用于网站分析和广告目的的常规 GTM 和 Google Analytics 脚本，但实际上包含了一个混淆的后门，能够为攻击者提供持续访问权限。截至发稿时，已有三个网站被发现感染了相关 GTM 标识符（GTM-MLHK2N68），低于 Sucuri 报告的六个。GTM 标识符是指包含各种跟踪代码（如 Google Analytics、Facebook Pixel）和在满足特定条件时触发的规则的容器。

进一步分析显示，恶意软件是从 Magento 数据库表 “cms_block.content” 中加载的，GTM 标签包含一个编码的 JavaScript 负载，用作信用卡窃取器。安全研究员 Puja Srivastava 表示：“该脚本旨在收集用户在结账过程中输入的敏感数据，并将其发送到攻击者控制的远程服务器。”

恶意软件执行后，会从结账页面窃取信用卡信息并发送到外部服务器。这并非 GTM 首次被用于恶意目的。2018 年 4 月，Sucuri 曾揭露该工具被用于恶意广告活动。

此次事件发生在该公司详细描述另一场 WordPress 活动数周之后，该活动可能利用插件漏洞或受攻击的管理员账户安装恶意软件，将网站访客重定向至恶意 URL。

 

---

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文