近期接連爆發多宗網絡攻擊,正集中衝擊全球企業最依賴的兩類數碼資產:WordPress 外掛與電商結帳系統,網絡安全公司 Wordfence 確認,WordPress 外掛 Everest Forms Pro 存在編號 CVE-2026-3300 的高危漏洞,CVSS 評分高達 9.8,攻擊者毋須登入即可在伺服器執行任意 PHP 程式碼並完全控制網站。
同時電商安全公司 Sansec 揭露犯罪集團將 Stripe 及 Google Tag Manager 等企業預設信任的服務改造成惡意指揮伺服器與偷卡資料庫,藉此繞過內容安全政策與網絡過濾。雖然這兩宗事件攻擊手法各異,卻共同指向同一個趨勢:黑客不再硬闖防火牆,而是鑽進企業早已開放且難以封鎖的可信通道。本文將拆解事件脈絡、企業面對的實際風險,以及網絡安全策略需要如何調整。
一個計算功能變成入侵後門
Everest Forms Pro 是一款表單外掛,目前約有 4,000 個網站正在使用,漏洞核心在於外掛的 Calculation Addon 功能中,process_filter() 函數會將用戶在表單填寫的內容,直接拼接成一段 PHP 程式碼字串,再交給 eval() 執行。雖然外掛有套用 sanitize_text_field() 過濾,但這個函數並不會處理單引號等可改變 PHP 語境的字元,因此攻擊者只要在啟用「Complex Calculation」功能的表單內,於任何文字、電郵、網址、選項或單選欄位輸入經過設計的內容,就能突破字串包裝並注入自己的程式碼。
成功入侵後攻擊者可以建立隱藏的管理員帳號、植入 web shell,並在伺服器內建立長期據點,Wordfence 觀察到攻擊者最常用的手法,正是在受害網站建立一個名為「diksimarina」的管理員帳號。
開發商已於 2026 年 3 月 18 日推出 1.9.13 版修補漏洞,漏洞詳情則在 3 月 30 日公開,不過攻擊者並未因修補程式推出而停手,反而從 4 月 13 日起針對未更新的網站發動大規模攻擊。截至目前 Wordfence 已攔截超過 29,300 次攻擊嘗試,當中 16 次發生在過去 24 小時內,反映威脅仍然活躍。
Stripe 變身偷卡基地,黑客專攻「可信任」的盲點
如果說 WordPress 漏洞是傳統的程式碼注入,那麼 Sansec 揭露的偷卡手法則展示了更高階的思路,攻擊者將 Stripe 視為免費基建,因為這個域名幾乎沒有任何商店會封鎖。整套攻擊的載入程式、惡意程式碼與被盜信用卡資料,全部經由商店本身已信任的 2 個域名流動,分別是 Google Tag Manager 與 api.stripe.com。
在 Magento 與 Adobe Commerce 的結帳頁面,惡意程式碼會從一個 Stripe 客戶帳號的中繼資料欄位抽取已混淆的偷卡程式,再將買家輸入的卡號、有效日期、CVV、帳單地址、電郵與電話等資料先存入瀏覽器 localStorage,系統會等到 4 項卡片欄位齊全才儲存,隨後將資料寫回攻擊者的 Stripe 帳號。每張被盜的信用卡都會在攻擊者帳戶內變成一個「客戶」,攻擊者日後只要用同一組金鑰呼叫 API 就能整批取回。Stripe 的客戶資料庫因此成為免費而穩定的資料外洩出口。
這個 Stripe 客戶紀錄在 2025 年 12 月 24 日建立,意味行動最早可能由當時已經展開,Sansec 同時發現另一變種改用 Google Firestore 代替 Stripe,惡意程式碼藏於名為 braintree-payment-app 專案下的 tracking/captcha 檔案,命名刻意模仿正常支付與防機械人流量以混入其中,但最終目的同樣是利用受信任服務作為難以封鎖的隱蔽通道。
規模化的品牌假冒:5,714 個假店面同步收割
同期還有一宗代號 GorgonAgora 的大規模行動,攻擊者架設多達 5,714 個假冒「.shop」店面,假扮 Starbucks、Ford、Sony、Mattel、Hasbro、Lego、Disney 與 Toyota 等品牌,結帳頁面將盜取的卡資料統一傳送至設於摩爾多瓦的單一伺服器,行動自 2025 年 8 月起持續,每個店面都採用相同的 Medusa.js 電商架構,並載入同一套自製結帳 SDK,渲染出一個假冒的 Stripe 內嵌框架,再透過加密 WebSocket 將卡資料以 AES-256-GCM 格式外洩。更棘手的是指揮伺服器維持即時的 3D Secure 中繼,當銀行回傳 3DS 驗證挑戰時,操作者會將其代理回假框架交給買家,令交易順利完成而盜竊行為保持隱形。
可信服務正在成為攻擊面
這一連串事件對企業最直接的提醒,是「白名單即安全」的假設已經失效,傳統防線依賴封鎖陌生域名與審查可疑流量,但當 Stripe 及 Google Tag Manager 這些核心服務遭黑客武器化,內容安全政策與網絡過濾便形同虛設。企業安全總監必須重新評估,自己究竟能實際掌控多少結帳頁面載入的第三方腳本。
對使用 WordPress 的企業而言,最務實的行動是立即將 Everest Forms Pro 更新至 1.9.13 或以上版本,並檢查是否有來歷不明的管理員帳號,技術總監亦應全面盤點網站使用的外掛數量與權限,因為每個外掛都是潛在入口。對經營 Magento 或 Adobe Commerce 的電商來說,定期掃描伺服器端惡意程式碼、嚴格審查 Google Tag Manager 容器內容,以及監察結帳頁面是否有異常的 localStorage 寫入行為,都是降低風險的關鍵。
企業也可以反過來將這些事件視為強化網絡安全投資的契機,與其在事故後補救,不如將第三方腳本監控、表單輸入驗證與供應鏈審查納入日常營運流程,目標是將被動防守轉化為主動治理。
攻擊者濫用可信基建趨勢加劇
由於濫用可信基建的手法成本低、隱蔽性高,而且能直接繞過大部分以域名信任為基礎的防護,犯罪集團冀能藉此延長攻擊的潛伏期與獲利時間。企業若仍以邊界防禦思維應對,將愈來愈難察覺已經發生在「自己人」通道內的入侵。
可以預期,網絡安全重心會從「阻擋外來威脅」轉向「驗證每段執行中的程式碼」,而供應鏈與第三方服務的可見度將成為下一階段企業防護的核心戰場,對管理層而言將網絡安全視為持續營運能力而非單次開支,才是面對這種新型威脅的長遠出路。
來源:Hacker News
