周三下午,一个看似普通的插件更新通知,背后藏着一场正在进行的网络攻击。安全公司Sansec监测发现,Funnel Builder插件的一个严重漏洞已被黑客大规模利用,专门瞄准电商网站的结账环节。
这个漏洞的狡猾之处在于无需任何身份验证就能触发。所有3.15.0.3版本之前的Funnel Builder都暴露在风险中。作为WooCommerce生态中热门的结账定制工具,该插件被超过40,000个网站使用,功能包括一键加购、落地页优化和转化率提升——如今这些功能入口成了黑客的跳板。
攻击路径并不复杂。黑客利用一个未受保护的公开结账端点,直接修改插件的全局设置,将恶意JavaScript注入到"外部脚本"配置中。一旦完成,所有结账页面都会自动执行这段代码。
Sansec捕捉到的攻击载荷伪装得相当专业:一个名为analytics-reports[.]com/wss/jquery-lib.js的脚本,冒充Google Tag Manager或Google Analytics的合法代码。它建立WebSocket连接到wss://protect-wss[.]com/ws,从攻击者服务器实时拉取定制版支付卡窃取程序。
被盗数据清单令人心惊:信用卡号、CVV安全码、账单地址,以及其他客户信息。这些支付卡窃取工具(payment card skimmers)让攻击者能够直接进行欺诈性在线消费,而批量窃取的记录通常流向暗网的"卡市"(carding markets)变现。
FunnelKit在昨天发布的3.15.0.3版本中修复了该漏洞。其安全公告确认"发现漏洞允许恶意行为者注入脚本",并给出两条紧急建议:立即从WordPress后台更新至最新版本,同时检查设置路径Settings > Checkout > External Scripts,排查攻击者可能植入的流氓脚本。
值得注意的是,这个漏洞至今没有获得官方CVE编号,却在暗处被积极利用。对于依赖WooCommerce的中小电商而言,插件生态的安全盲区往往是最致命的——你优化转化率的工具,可能正在转化客户数据给黑客。
热门跟贴