打开网易新闻 查看精彩图片

Shopify商家最近集体踩坑。黑客把恶意代码塞进1像素大的SVG文件里,藏在结账页面的"安全徽章"位置,肉眼根本看不见。等顾客输入信用卡信息,数据就被实时抄走。

这种攻击盯上的是Shopify的第三方应用生态。安全公司Sucuri发现,黑客先黑进某个热门插件的更新服务器,把干净文件替换成带毒版本。商家正常更新,顾客正常付款,一切看起来都没问题。Sucuri分析师在报告中写道:「攻击者把恶意代码拆成碎片,分散在多个看似无害的SVG路径里,传统扫描工具直接放行。」

打开网易新闻 查看精彩图片

更麻烦的是溯源。1像素图片加载速度快、流量小,不会触发CDN异常告警。等商家发现订单异常或收到银行拒付通知,往往已经过去几周。目前确认有3.7万张信用卡信息流入暗网,实际数字可能更高。

Shopify的应对是下架涉事插件并强制重置相关商家的API密钥,但没有公布具体是哪个插件中招。有商家在论坛吐槽,自己查了三天日志才发现那个可疑SVG来自一个用了两年的"信任徽章"工具。