Raziskovalci kibernetske varnosti so odkrili sofisticirano kampanjo, ki je vplivala na skoraj sto spletnih trgovin, zgrajenih na platformi Magento. Napadalci uporabljajo izjemno premeten pristop – zlonamerno kodo za krajo podatkov o plačilnih karticах skrivajo v SVG (Scalable Vector Graphics) slikah, velikih le en piksel.
Ta tehnika predstavlja evolucijo tradicionalnih napadov tipa Magecart, kjer kibernetski kriminalci vbrizgajo JavaScript kodo v spletne trgovine z namenom prestrezanja občutljivih plačilnih podatkov kupcev med postopkom nakupa. Uporaba SVG formata kot skrivališča za zlonamerno kodo pa dodaja novo dimenzijo prikrivanja.
SVG format omogoča vdelavo JavaScript kode neposredno v XML strukturo slike. Napadalci so to lastnost izkoristili tako, da so ustvarili pikselsko majhne SVG datoteke, ki na prvi pogled delujejo popolnoma nedolžno. Te datoteke vsebujejo obfuscirano JavaScript kodo, ki se aktivira, ko uporabnik dostopa do plačilne strani.
Ko se zlonamerna skripta izvede, začne spremljati vnosna polja na strani za plačilo. Ob vnosu podatkov o kreditni kartici – vključno s številko kartice, datumom veljavnosti in CVV kodo – skripta te informacije zajame in jih pošlje na strežnike napadalcev. Celoten proces poteka v ozadju, brez kakršnegakoli opaznega vpliva na uporabniško izkušnjo.
Magento platforma ostaja priljubljena tarča hekerjev zaradi njene razširjenosti med spletnimi trgovinami in pogostih varnostnih ranljivosti pri slabo vzdržеvanih namestitvah. Strokovnjaki za kibernetsko varnost priporočajo lastnikom spletnih trgovin, da redno posodabljajo svoje sisteme, izvajajo temeljite varnostne preglede kode in uporabljajo orodja za nadzor integritete datotek.
Za zaščito pred tovrstnimi napadi je ključnega pomena implementacija stroge politike varnosti vsebin (CSP), ki omejuje izvajanje JavaScript kode iz neznanih virov. Prav tako je priporočljivo uporabiti specialized skenerje za odkrivanje Magecart groženj in redno preverjati vse datoteke v spletni trgovini, vključno s slikovnim gradivom.
Vir: https://www.bleepingcomputer.com/news/security/hackers-use-pixel-large-svg-trick-to-hide-credit-card-stealer/
Originalna objava: 2026-04-08
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.