По меньшей мере 5925 интернет-магазинов содержат скрытый вредоносный код JavaScript, нацеленный на перехват содержимого форм ввода для кражи номеров кредитных карт. Об этом сообщил нидерландский исследователь Виллем де Гроот (Willem de Groot). По его словам, злоумышленники скомпрометировали сайты путем эксплуатации уязвимостей в неисправленных версиях e-commerce платформ, таких как Magento, на базе которых работают ресурсы. Получив доступ к сайту, преступники внедряют код JavaScript, перехватывающий и отправляющий платежные данные на офшорные серверы (в основном расположенные в России).
После публикации исследования многие владельцы фигурировавших в списке интернет-магазинов опровергли наличие вредоносного ПО на своих сайтах. Причем некоторые “втихую” удалили вредоносный код и пригрозили исследователю судебным иском, если тот не исключит торговую площадку из перечня.
Де Гроот разместил список скомпрометированных сайтов на GitHub, однако в скором времени администрация портала без предупреждения удалилаперечень. Тогда специалист опубликовал список на другом портале – GitLab, однако он также был удален с ресурса. Как пояснила администрация сайта, GitLab считает “вопиющим актом” обнародование списка уязвимых систем и не будет способствовать этому. В свою очередь, де Гроот аргументировал, что опубликовал не “перечень уязвимых систем, а наименования сайтов, содержащих вредоносное ПО”. В конечном итоге, GitLab пересмотрел решение и восстановил список на сайте.
По состоянию на 14 октября нынешнего года перечень включал 5484 сайта. По оценкам де Гроота, ежедневно компрометации подвергаются порядка 85 торговых интернет-площадок. По данным исследователя, в течение 48 часов после публикации списка, вредоносное ПО было удалено с 334 сайтов, однако в тот же период злоумышленники взломали еще 170 ресурсов. (Новости/NovostIT)