電商平臺Magento遭鎖定,駭客利用SVG圖檔挾帶交易資料側錄工具
漏洞背景與攻擊手法
資安公司Sansec於3月下旬針對Adobe Commerce與Magento用戶發出警告,指出其平臺存在名為PolyShell的資安漏洞。該漏洞雖在預覽版本中被修補,但未於正式版本發布更新,導致用戶需盡速採取行動。
隨後發現大規模攻擊活動,駭客已於超過一半的電商網站植入Webshell或Shell程式,並透過SVG圖檔作為載體,挾帶交易資料側錄工具,以竊取客戶信用卡資訊與其他敏感資料。
攻擊影響範圍與案例
根據iThome新聞報導,自2026年3月26日起,Sansec觀察到針對Magento平臺的攻擊行動持續擴大,多數受影響網站為使用舊版本系統或未及時更新的電商平臺。
此外,有報導指出,超過2,800間仍採用舊版本Magento的網購平臺,正被Magecart駭客集團入侵,可盜取客戶輸入的信用卡詳細資料。
相關技術與防禦建議
- 駭客常透過命令注入攻擊(如PFP-FPM)滲透Magento特定外掛程式,並濫用滲透測試工具如GSocket。
- SVG圖檔作為隱密載體,可被用來植入惡意程式碼,進而執行後門或側錄工具。
- 建議電商網站管理者立即更新至最新版本,並啟用強化驗證機制,以防止惡意程式碼被執行。