Une campagne malveillante du type Magecart a été découverte. Elle exploite l’infrastructure de l’API du service de paiement Stripe pour héberger le code malveillant et les données volées sur les pages de paiement des sites e-commerce.
Les chercheurs de l’entreprise de sécurité Sansec ont identifié ce nouveau malware. L’activité frauduleuse repose sur l’utilisation de domaines de confiance, ceux de Google Tag Manager et de Stripe. Les boutiques en ligne autorisent ces domaines par défaut, ce qui permet au logiciel espion de contourner les règles de sécurité habituelles.
Le code malveillant se trouve inséré dans des conteneurs Google Tag Manager qui semblent légitimes. Il s’active uniquement lorsqu’un client accède à une page de caisse. Le code interroge alors l’API Stripe pour récupérer un enregistrement client spécifique, qui est identifié par un code. Dans les champs de métadonnées de cet enregistrement, le programme lit un code JavaScript qu’il réassemble et qu’il exécute ensuite.
Ce logiciel espion vise les pages de paiement des plateformes Magento et Adobe Commerce. Il tente de capturer les informations de paiement, comme le numéro de la carte de crédit, sa date d’expiration et son cryptogramme visuel. Il collecte aussi le nom du client, son adresse de facturation, son adresse e-mail et son numéro de téléphone.
Source : Sansec
Les données volées sont d’abord concaténées en une seule chaîne de caractères, puis elles sont rendues illisibles grâce à une opération de chiffrement XOR. Elles sont stockées localement sur l’ordinateur de la victime au lieu d’être envoyées immédiatement vers les serveurs des pirates.
Le vol des données s’effectue via une routine distincte. Celle-ci s’exécute après le chargement de la page et se répète toutes les minutes. Elle divise le bloc de données en deux parties, crée un nouvel objet client Stripe et stocke les informations dérobées dans les champs de métadonnées.
Chaque carte de paiement volée devient ainsi un faux enregistrement client dans le compte Stripe des attaquants. Cette technique transforme Stripe en une base de données de stockage pour les données illicites. Une fois les données copiées, le fichier local est effacé pour supprimer les traces de l’attaque et éviter les téléversements en double.
Source : Sansec
Les experts de Sansec ont aussi découvert une variante de cette attaque. Elle utilise Google Firestore, qui est un service de base de données en nuage, à la place de Stripe. Dans cette version, le code malveillant est récupéré depuis un document Firestore spécifique, au sein d’un projet au nom trompeur. Les données volées sont conservées dans une autre clé de stockage local.
Les noms du document et du projet aident le malware à se fondre parmi le trafic légitime de paiement et de protection contre les robots. L’enregistrement client Stripe contenant le logiciel espion aurait été créé le 24 décembre 2025. Cela indique que l’opération est probablement active depuis cette date au moins.
Pour se protéger face à ce type de risque, les consommateurs peuvent utiliser des cartes de paiement virtuelles à usage unique, avec des plafonds de dépense définis.