Stripe

Hackers exploram Stripe e Google Tag Manager para roubo de cartões

Pesquisadores de cibersegurança da Sansec revelaram uma nova campanha de roubo de informações de pagamento que utiliza a API do Stripe e o Google Tag Manager (GTM). Os atacantes comprometeram sites de comércio eletrônico baseados em Magento/Adobe Commerce, inserindo um contêiner malicioso do GTM. Quando um usuário acessa o site, o código do GTM é carregado a partir dos servidores do Google, permitindo que um script malicioso seja executado durante o processo de checkout. Esse script monitora a página de pagamento e captura dados sensíveis, como números de cartão, CVV e informações pessoais. Os dados roubados são então ofuscados e enviados para uma conta controlada pelos atacantes no Stripe, utilizando a própria infraestrutura do Stripe para evitar detecções. Essa técnica permite que o malware passe despercebido por políticas de segurança e filtros de rede, tornando a situação ainda mais crítica para os usuários e comerciantes online.

Campanha Magecart usa Stripe para roubo de dados de cartões de crédito

Uma nova campanha do grupo Magecart está explorando a infraestrutura da API do Stripe para hospedar um código malicioso que rouba dados de cartões de crédito durante o processo de checkout. Pesquisadores da empresa de segurança em e-commerce Sansec identificaram que a atividade maliciosa utiliza o Google Tag Manager (GTM) e os domínios do Stripe, que são geralmente confiáveis por lojas online. O código malicioso é carregado de um contêiner do GTM e executado em todas as páginas que o carregam, permitindo que o skimmer evite regras de segurança que normalmente bloqueariam tráfego desconhecido. O malware é projetado para capturar informações sensíveis, como números de cartões de crédito, datas de validade e códigos CVV, além de dados pessoais dos clientes. Os dados roubados são armazenados localmente e enviados para a conta do atacante no Stripe como registros de clientes falsos. Além disso, uma variante do ataque utiliza o Google Firestore para armazenar os dados, disfarçando-se como tráfego legítimo. Para se proteger, os consumidores são aconselhados a usar cartões virtuais de uso único com limites definidos.

Pacote malicioso no NuGet finge ser biblioteca da Stripe

Pesquisadores de cibersegurança revelaram a descoberta de um novo pacote malicioso no NuGet Gallery, que se disfarça como uma biblioteca legítima da Stripe, visando o setor financeiro. O pacote, denominado StripeApi.Net, foi criado para imitar o Stripe.net, uma biblioteca autêntica com mais de 75 milhões de downloads. Carregado por um usuário chamado StripePayments em 16 de fevereiro de 2026, o pacote foi rapidamente removido após a denúncia. O site do pacote malicioso foi projetado para se assemelhar ao original, utilizando o mesmo ícone e uma descrição quase idêntica, apenas alterando referências de ‘Stripe.net’ para ‘Stripe-net’. Para aumentar sua credibilidade, o autor do ataque inflacionou artificialmente a contagem de downloads para mais de 180.000, distribuídos em 506 versões. Embora o pacote replicasse algumas funcionalidades da biblioteca legítima, ele modificava métodos críticos para coletar e transferir dados sensíveis, como o token da API da Stripe, para o atacante. A ReversingLabs, que identificou e reportou o pacote rapidamente, destacou que essa atividade representa uma mudança em relação a campanhas anteriores que visavam o ecossistema de criptomoedas. O incidente ressalta a necessidade de vigilância constante em bibliotecas de código aberto, especialmente em um cenário onde desenvolvedores podem inadvertidamente integrar pacotes comprometidos sem perceber.

Segurança de iframes de pagamento um alerta para comerciantes

Um novo artigo destaca a vulnerabilidade dos iframes de pagamento, que estão sendo explorados por atacantes através de técnicas de sobreposição maliciosa para roubar dados de cartões de crédito. A campanha de skimming do Stripe, ocorrida em agosto de 2024, exemplifica essa ameaça, onde 49 comerciantes foram comprometidos. Os atacantes injetam JavaScript malicioso em plataformas vulneráveis, como o WordPress, para substituir iframes legítimos por réplicas perfeitas que capturam informações do usuário sem que ele perceba.