Comment les attaquants ont utilisé des images SVG contre les magasins Magento
Des chercheurs en sécurité ont découvert une campagne sophistiquée de skimming de cartes de crédit ciblant les plateformes e-commerce Magento le 8 avril 2026. Les attaquants ont intégré du code JavaScript malveillant à l'intérieur d'images Scalable Vector Graphics (SVG) de la taille d'un pixel, rendant le malware pratiquement invisible pour les administrateurs de magasin et les scanners de sécurité. Cette technique représente une évolution significative des tactiques de skimming web, allant au-delà des méthodes traditionnelles d'injection de script.
La campagne affecte près de 100 magasins en ligne utilisant diverses versions de la plateforme Magento. Les attaquants ont obtenu un accès initial grâce à des identifiants d'administrateur compromis ou à des vulnérabilités non corrigées dans les installations Magento. Une fois à l'intérieur, ils ont placé les fichiers SVG armés à des emplacements stratégiques sur les sites e-commerce, généralement sur les pages de paiement où les clients saisissent leurs informations de paiement.
Les images SVG apparaissent comme des éléments de design légitimes mais contiennent du JavaScript intégré qui s'active lorsque les clients atteignent les formulaires de paiement. Le code malveillant capture les numéros de carte de crédit, les dates d'expiration, les codes CVV et les adresses de facturation en temps réel. Ces données sont transmises à des serveurs contrôlés par les attaquants via des canaux chiffrés, rendant la détection extrêmement difficile pour les outils de surveillance de sécurité traditionnels.
Ce qui rend cette campagne particulièrement dangereuse est le facteur de furtivité. Les fichiers SVG sont couramment utilisés dans le design web pour des graphiques et des icônes évolutifs. Les équipes de sécurité négligent souvent ces fichiers lors des analyses de routine car ils apparaissent comme des actifs d'image inoffensifs. Les dimensions de la taille d'un pixel garantissent que les éléments SVG malveillants restent invisibles pour les visiteurs du site tout en exécutant leur charge utile.
Propriétaires de magasins Magento et données clients en danger
La campagne cible principalement les installations de Magento Community Edition et Commerce Edition sur plusieurs versions. Les magasins affectés couvrent diverses industries, y compris les détaillants de mode, les vendeurs d'électronique et les marchands de produits spécialisés. La distribution géographique inclut des magasins en Amérique du Nord, en Europe et dans les régions Asie-Pacifique, suggérant une opération internationale coordonnée.
Les administrateurs de magasins utilisant des versions obsolètes de Magento courent le plus grand risque, en particulier ceux utilisant des versions antérieures à 2.4.3 qui contiennent des vulnérabilités de sécurité connues. Cependant, les chercheurs ont trouvé des magasins compromis utilisant également des versions actuelles, indiquant que les attaquants exploitent également des identifiants administratifs faibles et des vulnérabilités d'extensions tierces. Les petites et moyennes entreprises semblent disproportionnellement affectées, probablement en raison de ressources de sécurité limitées et d'une gestion des correctifs retardée.
L'impact sur les clients va au-delà de la fraude financière immédiate. Les données de paiement volées apparaissent généralement sur les marchés clandestins dans les 24 à 48 heures suivant la collecte. Les clients affectés peuvent subir des frais non autorisés, des tentatives de vol d'identité et des exigences de surveillance de crédit à long terme. La nature invisible du skimmer signifie que les clients n'ont aucune indication que leurs données ont été compromises pendant le processus de transaction.
Étapes de détection et de mitigation pour les administrateurs Magento
Les administrateurs de magasins doivent immédiatement scanner leurs installations Magento à la recherche de fichiers SVG suspects, en particulier dans les répertoires liés au paiement et les dossiers de thèmes. Recherchez des fichiers SVG avec des noms inhabituels ou ceux récemment modifiés sans explication. Les éléments SVG malveillants contiennent souvent du JavaScript encodé en base64 ou des extraits de code obfusqués qui n'appartiennent pas à des fichiers d'image légitimes.
Implémentez une surveillance de l'intégrité des fichiers pour détecter les modifications non autorisées de votre installation Magento. Activez la fonction de scan de sécurité intégrée de Magento et configurez-la pour examiner spécifiquement les fichiers SVG. Examinez les journaux d'accès au serveur pour détecter des téléchargements ou des modifications de fichiers inhabituels, en particulier ciblant les répertoires /pub/media/ et /app/design/ où les attaquants placent couramment des fichiers SVG malveillants.
La remédiation immédiate nécessite de supprimer tous les fichiers SVG suspects et de changer tous les mots de passe administratifs. Mettez à jour Magento vers la dernière version et appliquez tous les correctifs de sécurité disponibles. Passez en revue et auditez toutes les extensions installées, en supprimant celles qui ne sont pas activement maintenues ou provenant de sources non fiables. Configurez les en-têtes de Content Security Policy (CSP) pour restreindre l'exécution de scripts et implémentez des règles de pare-feu d'application web (WAF) pour bloquer les téléchargements de SVG suspects.
Pour une protection continue, établissez des audits de sécurité réguliers axés sur l'intégrité du système de fichiers. Surveillez les journaux de traitement des paiements pour détecter des anomalies et implémentez des systèmes de détection de fraude en temps réel. Envisagez d'utiliser le catalogue des vulnérabilités exploitées connues de la CISA pour prioriser la gestion des correctifs et restez informé des menaces émergentes spécifiques à Magento via les avis de sécurité des fournisseurs.
