Sofisticirani Magecart napad koristi Stripe kao komandni centar za krađu platnih kartica
Novi Magecart napad koristi Stripe infrastrukturu kao komandni centar za krađu platnih kartica preko zaraženih GTM kontejnera.
Šta se desilo?
Istraživači bezbednosti su otkrili novi napad Magecart familije koji zloupotrebljava Stripe - jednu od najvećih svetskih platformi za elektronsko plaćanje - kao komandni centar i skladište za ukradene podatke platnih kartica. Umesto da šalje ukradene podatke na maliciozne servere, napadač rutira sve kroz Stripe infrastrukturu koju elektronske prodavnice već po zadanom dozvoljavaju, čime čini napad nevidljivim za većinu sigurnosnih alata.
Koga pogađa?
Elektronske prodavnice i njihovi kupci su direktno ugroženi ovim napadom. Napadač je iskoristio legitimnu Stripe klijentsku nalog kreiranu 24. decembra 2025. godine kako bi skladištio maliciozni kod i prikupio podatke od kartica kupaca koji kupuju preko zaraženih web stranica. Svi korisnici e-commerce platformi koje koriste Stripe plaćanja mogu biti potencijalne žrtve.
Kako se zaštititi?
- Redovno auditujem Google Tag Manager kontejnere kako biste identifikovali neobične ili nepoznate tagove koji ste dodali
- Implementirajte Content Security Policy (CSP) naglavlje koje će ograničiti učitavanje spoljnog sadržaja
- Pratite sve transakcije kroz Stripe dashboard i tražite neobične klijentske naloge ili metapodatke
- Koristite Web Application Firewall (WAF) koji može detektovati injekcije koda na checkout stranicama
- Redovno ažurirajte sve zavisnosti i biblioteke korišćene na e-commerce stranicama
- Primenite višeslojnu autentifikaciju za sve administratorske naloge na Stripe-u i GTM-u
Tehnički detalji
Napad koristi dva glavna vektora - maliciozni kod je skladišten u metapodacima Stripe klijentskog naloga, zatim se izvršava na checkout stranicama prije nego što se ukradeni podaci kartice pišu nazad u istu klijentsku nalog kao lažni kupci. Google Tag Manager se koristi kao mehanizam za dostavu inicijalnog loadera, pri čemu su legitimni GTM kontejneri (uključujući GTM-P6KZMF63) zaraženi prilagođenim tagovima koji se direktno servuje sa googletagmanager.com. Napad je aktivan najmanje od decembra 2025. godine prema podacima kreiranja Stripe naloga. Istraživanja je sprovela kompanija Sansec, specijalizovana za e-commerce bezbednost, a rezultati su publikovani 4. juna 2026. godine.
Preporuka Sajber Radara
Iako Stripe sam po sebi nije kompromitovan, e-commerce prodavnice moraju hitno pregledati sve GTM kontejnere, Stripe integracijske naloge i checkout kod kako bi identifikovale kompromitovane elemente. Čak i pretpostavka povjerenja u mainstream platforme nije dovoljna zaštita - redovni sigurnosni auditi i monitoring su neophodni.