Une nouvelle campagne **Magecart** exploite activement les services mêmes sur lesquels les sites de commerce électronique s'appuient pour le traitement des paiements et l'analyse : **Stripe** et **Google Tag Manager (GTM)**. Cela permet aux attaquants d'intégrer de manière transparente leurs opérations de skimming de cartes de crédit dans le trafic web légitime, rendant la détection considérablement plus difficile. ### La Stratégie Trompeuse Les chercheurs de la société de sécurité pour le commerce électronique **Sansec** ont découvert cette nouvelle famille de **malware**, notant sa dépendance à l'égard de domaines implicitement fiables : `googletagmanager.com` et `api.stripe.com`. Les boutiques en ligne autorisent généralement ces domaines pour les opérations normales, créant involontairement un angle mort pour les activités malveillantes. **Sansec** explique : « Le **payload** et les cartes volées transitent par `api.stripe.com`. Les boutiques autorisent ce domaine par défaut, de sorte que le skimmer passe outre les règles de Content Security Policy et les filtres réseau qui signaleraient autrement le trafic vers un domaine de skimmer inconnu. » **GTM** est un système largement utilisé qui permet aux propriétaires de sites web de gérer des scripts pour l'analyse, la publicité et le suivi sans modifier directement le code source. **Stripe** est une plateforme de traitement des paiements prédominante pour les transactions en ligne. ### Comment le Skimmer Opère Le code malveillant est intégré dans des conteneurs **GTM** d'apparence légitime. Lorsqu'un acheteur navigue vers une page de paiement, le skimmer s'active, demandant à l'API **Stripe** de récupérer un enregistrement client spécifique (par exemple, `cus_TfFjAAZQNOYENR`). À partir des champs de métadonnées de cet enregistrement, le **malware** lit et réassemble le code JavaScript, qu'il exécute ensuite en utilisant `new Function()`. Ce skimmer de cartes cible spécifiquement les pages de paiement **Magento/Adobe Commerce**. Il tente de capturer une gamme complète de données de paiement et personnelles, y compris les numéros de carte de crédit, les dates d'expiration, les codes CVV, les noms des clients, les adresses de facturation et de courriel, ainsi que les numéros de téléphone.  ### Exfiltration Discrète des Données Au lieu d'une exfiltration immédiate, les données volées sont d'abord concaténées en une seule chaîne, obfusquées à l'aide d'une opération XOR, et stockées localement. Une routine distincte gère la récupération des données, s'exécutant après chaque chargement de page, puis toutes les minutes par la suite. Cette routine divise le bloc de données obfusquées, crée un nouvel objet client **Stripe**, et stocke les informations volées dans ses champs de métadonnées. Essentiellement, chaque carte de paiement compromise devient un enregistrement client factice dans le compte **Stripe** de l'attaquant, transformant **Stripe** lui-même en un backend de stockage pour les données illicites. Une fois que les données sont copiées avec succès dans le compte **Stripe** de l'attaquant, le fichier local est effacé. Cette étape cruciale élimine les traces de l'attaque et empêche les téléchargements en double, rendant l'analyse forensique plus difficile.  ### La Variante Google Firestore **Sansec** a également découvert une variante de cette campagne qui utilise **Google Firestore**, un service de base de données cloud, au lieu de **Stripe** pour le stockage et la récupération des données. Dans cette version, le **payload** est récupéré d'un document Firestore nommé `tracking/captcha` au sein d'un projet appelé `braintree-payment-app`. Les données volées sont ensuite stockées dans une clé `localStorage` différente (`_d_data_customer_`). L'utilisation de noms de documents et de projets aussi anodins aide le **malware** à se fondre davantage dans le trafic légitime de paiement et de protection contre les bots. ### Chronologie et Protection L'enregistrement client **Stripe** contenant le **payload** du skimmer aurait été créé le 24 décembre 2025, suggérant que cette opération sophistiquée pourrait être active depuis un certain temps. Pour les utilisateurs, une défense principale contre de tels risques est l'utilisation de cartes virtuelles à usage unique avec des limites de dépenses prédéfinies, ce qui peut atténuer considérablement l'impact des détails de paiement compromis.