本周,欧洲航天局 (ESA) 官方网上商店遭到黑客攻击,该商店出现一段 JavaScript 代码,该代码在结账时会生成虚假的 Stripe 支付页面。
欧洲航天局的预算超过 100 亿欧元,主要通过培训宇航员、建造火箭和卫星来探索宇宙的奥秘,从而扩大太空活动的极限。获得销售欧空局商品许可的网络商店目前无法使用,并显示“暂时无法使用”。
该恶意脚本本周出现在该机构的网站上,并收集客户信息,包括在购买最后阶段提供的支付卡数据。电子商务安全公司 Sansec 注意到了该恶意脚本,并提醒该商店似乎与 ESA 系统集成,可能会给该机构员工带来风险。
Sansec 表示 ESA 商店遭到入侵
Sansec 发现用于泄露信息的域名与销售 ESA 商品的合法商店使用的域名相同,但具有不同的顶级域名 (TLD)。虽然欧洲机构的官方商店在 .com TLD 中使用“esaspaceshop”,但黑客在 .pics TLD 中使用相同的名称(即 esaspaceshop[.]pics),如 ESA 商店的源代码所示:
ESA 网络商店中注入恶意 JavaScript
该脚本包含来自 Stripe SDK 的模糊 HTML 代码,当客户尝试完成购买时,该代码会加载虚假的 Stripe 支付页面。值得注意的是,假冒的 Stripe 页面看起来并不可疑,特别是当看到它是由 ESA 官方网上商店提供时。
ESA 的网上商店加载虚假的 Stripe 支付页面
有网络应用安全公司也证实了 Sansec 的调查结果,并捕获了 ESA 官方网络商店上加载的虚假 Stripe 支付页面,目前该网店不再提供虚假的 Stripe 支付页面,但恶意脚本仍然在该网站的源代码中可见。
欧空局表示,该商店并未托管在其基础设施上,也不管理其上的数据,因为该机构不管理这些数据,它不拥有这些数据。这可以通过简单的 whois 查找来确认,该查找显示了 ESA 域名 (esa.int) 及其网络商店的完整详细信息,其中联系数据经过编辑以保护隐私。
参考及来源:https://www.bleepingcomputer.com/news/security/european-space-agencys-official-store-hacked-to-steal-payment-cards/