Пријави инцидент
Пријави инцидент

WebRTC skimmer ја заобиколува CSP за да краде податоци за плаќање од e-commerce сајтови

Објавено: 26.03.2026

Истражувачите за сајбер-безбедност открија нов тип на „payment skimmer“ кој користи WebRTC data канали за да прима payload-и и да ексфилтрира податоци, со што ефективно ги заобиколува безбедносните контроли.

„Наместо класични HTTP барања или image beacon-и, овој малициозен софтвер користи WebRTC data канали за да го вчита својот payload и да ги испрати украдените податоци за плаќање,“ соопшти Sansec во извештај објавен оваа недела.

Нападот, кој таргетирал e-commerce веб-страница на производител на автомобили, бил овозможен преку PolyShell – нова ранливост што ги зафаќа Magento Open Source и Adobe Commerce. Таа им овозможува на неавтентицирани напаѓачи да прикачат произволни извршни фајлови преку REST API и да извршат код.

Ранливоста е масовно експлоатирана од 19 март 2026 година, при што повеќе од 50 IP адреси учествуваат во скенирање. Холандската безбедносна компанија открила PolyShell напади кај 56.7% од сите ранливи продавници.

Skimmer-от е дизајниран како самоизвршувачки скрипт кој воспоставува WebRTC peer конекција со однапред дефинирана IP адреса („202.181.177[.]177“) преку UDP порт 3479 и презема JavaScript код, кој потоа се вбризгува во веб-страницата за кражба на податоци за плаќање.

Користењето на WebRTC претставува значајна еволуција на ваквите напади, бидејќи ги заобиколува Content Security Policy (CSP) правилата.

„Дури и продавница со строга CSP политика која блокира неовластени HTTP конекции останува ранлива на WebRTC-базирана ексфилтрација,“ наведува Sansec. „Сообраќајот е потежок за детекција бидејќи WebRTC DataChannels користат DTLS енкриптиран UDP, а не HTTP. Безбедносните алатки што го анализираат HTTP сообраќајот нема да ја забележат кражбата на податоци.“

Adobe објави поправка за PolyShell во верзијата 2.4.9-beta1 на 10 март 2026 година, но таа сè уште не е достапна во продукциските верзии.

Како мерки за заштита, сопствениците на сајтови се советуваат:

  • да го блокираат пристапот до директориумот “pub/media/custom_options/”
  • да ги скенираат системите за web shell-ови, backdoor-и и друг малициозен софтвер

Извори:

  • The Hacker News – WebRTC Skimmer Bypasses CSP to Steal Payment Data from E-Commerce Sites The Hacker News