Ataques que utilizam a vulnerabilidade 'PolyShell' na versão 2 das instalações do **Magento Open Source** e **Adobe Commerce** estão em andamento, visando mais da metade de todas as lojas vulneráveis. De acordo com a empresa de segurança de eCommerce **Sansec**, hackers começaram a explorar massivamente a questão crítica do PolyShell na semana passada, apenas dois dias após a divulgação pública. "A exploração em massa do PolyShell começou em 19 de março, e a **Sansec** agora encontrou ataques PolyShell em 56,7% de todas as lojas vulneráveis", diz a **Sansec**. Os pesquisadores relataram anteriormente que o problema reside na API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para o item do carrinho, permitindo que arquivos poliglotos alcancem execução remota de código ou tomada de conta via cross-site scripting (XSS) armazenado, se a configuração do servidor web permitir. A **Adobe** lançou uma correção na versão 2.4.9-beta1 em 10 de março de 2026, mas ela ainda não chegou à branch estável. O BleepingComputer contatou anteriormente a **Adobe** para perguntar quando uma atualização de segurança abordando o PolyShell estará disponível para versões de produção, mas não recebemos resposta. Enquanto isso, a **Sansec** publicou uma lista de endereços IP que realizam varreduras em busca de lojas web vulneráveis ao PolyShell. ### Skimmer WebRTC A **Sansec** relata que em alguns dos ataques suspeitos de explorar o PolyShell, o ator de ameaça entrega um novo skimmer de cartão de pagamento que usa Web Real-Time Communication (WebRTC) para exfiltrar dados. O WebRTC usa DTLS-criptografado UDP em vez de HTTP, portanto, é mais provável que ele evite controles de segurança, mesmo em sites com controles rigorosos de Content Security Policy (CSP) como "connect-src". O skimmer é um carregador JavaScript leve que se conecta a um servidor de comando e controle (C2) codificado via WebRTC, contornando a sinalização normal ao incorporar uma troca SDP forjada. Ele recebe um payload de segundo estágio através do canal criptografado, então o executa enquanto contorna o CSP, principalmente reutilizando um nonce de script existente, ou recorrendo a unsafe-eval ou injeção direta de script. A execução é atrasada usando 'requestIdleCallback' para reduzir a detecção. A **Sansec** observou que este skimmer foi detectado no site de e-commerce de uma montadora avaliada em mais de US$ 100 bilhões, que não respondeu às suas notificações. Os pesquisadores fornecem um conjunto de indicadores de comprometimento que podem ajudar os defensores a se protegerem contra esses ataques. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Por que a Criptografia de Ransomware Caiu 38%</a></h2> <p>Malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos.</p> <p>Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.</p> </div> </div>