新型WebRTC窃密程序绕过CSP防护，疯狂窃取电商网站支付数据

2026年3月26日——网络安全研究人员发现了一种新型支付窃密程序（payment skimmer），该恶意软件利用WebRTC数据通道来接收恶意载荷并窃取数据，有效绕过了现有的安全防护措施。

攻击原理

荷兰安全公司Sansec在本周发布的一份报告中指出："与传统的HTTP请求或图像信标不同，这款恶意软件使用WebRTC数据通道来加载其恶意载荷并窃取支付数据。"

据悉，此次攻击针对的是一家汽车制造商的电子商务网站，攻击利用了名为PolyShell的新漏洞。该漏洞影响Magento开源版和Adobe Commerce平台，允许未经身份验证的攻击者通过REST API上传任意可执行文件并实现代码执行。

大规模利用

值得注意的是，该漏洞自2026年3月19日以来已遭到大规模利用，超过50个IP地址参与了扫描活动。荷兰安全公司表示，已在56.7%的易受攻击商店中发现了PolyShell攻击。

WebRTC窃密技术细节

该窃密程序被设计为自执行脚本，它会建立一个指向硬编码IP地址（"202.181.177[.]177"）的WebRTC对等连接，通过UDP端口3479检索JavaScript代码，随后将代码注入网页以窃取支付信息。

使用WebRTC标志着窃密攻击技术的重大演进，因为它能够绕过内容安全策略（CSP）指令。

Sansec指出："即使商店配置了严格的CSP来阻止所有未经授权的HTTP连接，仍然对基于WebRTC的数据窃取完全开放。流量本身也更难被检测到。WebRTC DataChannels通过DTLS加密的UDP运行，而不是HTTP。检查HTTP流量的网络安全工具永远不会看到窃取的数据离开。"

漏洞修复情况

Adobe已在2026年3月10日发布的2.4.9-beta1版本中修复了PolyShell漏洞，但该补丁尚未推送到生产版本。

缓解措施

网站管理员被建议采取以下防护措施：

• 阻止对"pub/media/custom_options/"目录的访问
• 扫描商店中的Web Shell、后门和其他恶意软件

PolyShell漏洞更多细节

Searchlight Cyber的Assetnote团队分享了关于PolyShell漏洞的更多细节，指出该漏洞源于名为ImageProcessor::processImageContent()的函数。该函数接受任何"有效"图像作为输入，并将文件移动到目标文件夹。

安全研究员Tomais Williamson表示："如果你使用的是Adobe建议的Nginx/Apache配置，那么这些文件是无法访问且不可执行的。然而，任何与该配置的偏差都可能导致实例受到影响。"

来源：The Hacker News
翻译：极客安全网