雲端電子商務平台Volusion的結帳頁面被注入惡意程式

Check Point安全研究人員Marcel Afrahim於本周披露，雲端電子商務平台Volusion的基礎設施遭到駭客入侵，讓駭客得以在Volusion的結帳頁面上動態注入惡意程式，以竊取消費者所輸入的金融卡資訊，可能波及逾6,500個Volusion客戶。

Afrahim一開始是在芝麻街（Sesame Street）的官方線上商店sesamestreetlivestore.com上察覺異樣，它被嵌入了vnav.js，以自Google雲端儲存動態載入另一個惡意的JavaScript檔案，而這也是該站唯一一個並非來自sesamestreetlivestore.com或volusion.com的檔案。

分析顯示，此一惡意JavaScript檔案的主要目的，就是竊取消費者於結帳頁面上所輸入的支付卡資訊，且最後修改日期為今年的9月12日，意謂著消費者的刷卡資料至少從9月中旬就開始被駭客接收。

由於芝麻街為Volusion的客戶，因此當Afrahim發現此事時，懷疑應有其它的Volusion客戶受害，於是搜尋了vnav.js，發現有6,593個網頁含有該腳本程式，可能全是受害者。

不管是Afrahim或其它媒體都猜測，這很可能是惡名昭彰的Magecart駭客集團所為。Magecart駭客集團專門在電子商務網站上植入盜卡程式，而且近來專挑大型業者、校園網路商店，或者是類似Volusion的供應鏈下手，包括英國航空British Airline、售票網站Ticketmaster或電商平台Newegg，都曾是Magecart的受害者。

根據RiskIQ的統計，Magecart入侵後的平均停留時間為22天，有些甚至長達數年才被發現，開源的Magento或OpenCart購物平台，早就是許多Magecart駭客的命脈，光是在Magecart平台上就偵測到超過9,000個被植入盜卡程式的網站，且全球存在著573個屬於Magecart集團的命令暨控制伺服器，透露出其組織之龐大。