Près d’une centaine de boutiques en ligne basées sur Magento ont été compromises récemment via l’exploitation de la faille PolyShell. Désormais, les pirates exploitent ces boutiques compromises pour voler les numéros de cartes bancaires des clients à l’aide d’une simple image SVG d’un seul pixel. Voici ce que l’on sait sur ce skimmer.

La faille de sécurité PolyShell

D’après les chercheurs en sécurité de chez Sansec, cette nouvelle campagne serait liée à la faille de sécurité surnommée PolyShell. Découverte en mars 2026, elle affectait les boutiques d’e-commerce basées sur Magento et Adobe Commerce. En l’exploitant, les pirates pouvaient charger un exécutable malveillant sur le serveur où est hébergée l’application et ainsi prendre le contrôle de la boutique en ligne.

Largement exploitée pour déployer des portes dérobées, notamment l’une nommée , les pirates seraient passés à l’étape suivante d’après un nouveau rapport publié par Sansec.

“Une vague d’attaques massives a frappé des centaines de sites en l’espace d’une heure, injectant des chargeurs JavaScript provenant de lanhd6549tdhse[.]top. Les pirates ont entièrement automatisé la chaîne d’exploitation PolyShell.”, précisent les chercheurs dans un rapport mis à jour le 30 mars.

Le vol de cartes bancaires avec une image SVG

La nouvelle campagne découverte par les chercheurs reposerait sur l’injection d’un malware dans le code HTML du site sous la forme d’un élément SVG invisible, dont la taille est de 1×1 pixel. Ce code est accompagné d’un gestionnaire d’événements .

En pratique, côté utilisateur, voici ce qu’il se passe : lorsque le client clique sur le bouton de paiement, un script malveillant intercepte l’action et affiche une fausse fenêtre de “Paiement sécurisé”. Ce formulaire piégé est destiné à récupérer les données de la carte bancaire, les valide en temps réel (via l’algorithme de Luhn), puis les exfiltre vers des serveurs contrôlés par les attaquants.

“Le gestionnaire onload contient l’intégralité de la charge utile du skimmer, encodée en base64 à l’intérieur d’un appel atob() et exécutée via setTimeout.”, précisent les chercheurs. L’intérêt pour les attaquants étant de ne pas faire appel à des scripts externes qui risquent d’être détectés par les solutions de sécurité. “L’ensemble du malware vit en ligne, encodé sous la forme d’un seul attribut de chaîne de caractères.”, peut-on lire.

Jusqu’à présent, les équipes de Sansec ont identifié six domaines utilisés pour exfiltrer les données, tous hébergés par le même prestataire (IncogNet LLC) aux Pays-Bas. L’adresse IP associée à l’ensemble de ces domaines est identique : . Toujours d’après ce même rapport, il y aurait 76 victimes confirmées à l’heure actuelle.

Comment protéger votre boutique Magento ?

La situation est inquiétante, et surtout, on se demande ce que fait Adobe. L’éditeur américain n’a toujours pas publié de correctif de sécurité pour patcher la vulnérabilité PolyShell sur les versions stables de Magento. En effet, le patch n’est disponible que dans la version 2.4.9-alpha3+. C’est un vrai cadeau qui est fait aux cybercriminels… Surtout qu’il s’agit de boutiques en ligne.

Si vous administrez une boutique e-commerce sous Magento ou Adobe Commerce, voici les actions de remédiation à entreprendre :

• Recherchez les balises suspectes : inspectez les fichiers de votre site et recherchez la présence de balises SVG masquées contenant un attribut avec un appel .
• Vérifiez le stockage local : contrôlez si la clé est présente dans le du navigateur. Si c’est le cas, c’est un indicateur fort que des données de paiement ont potentiellement été compromises par l’intermédiaire de votre site web.
• Surveillez le trafic réseau : identifiez et bloquez les requêtes suspectes pointant vers ou tout autre domaine qui s’apparente à de l’analytique sans que vous l’ayez configuré. Ici, ce nom fait référence au système Analytics de Facebook afin de tromper la vigilance des admins.

Surtout, si vous le pouvez, créez une règle pour bloquer tout trafic en direction de l’adresse IP utilisée par les cybercriminels.