L'evoluzione furtiva degli e-commerce skimmer: come WebRTC aggira il fossato digitale

La scioccante velocità degli exploit PolyShell

Nella settimana successiva al 19 marzo 2026, uno sbalorditivo 56,7% di tutti i negozi Magento e Adobe Commerce vulnerabili è stato compromesso da una singola catena di exploit. Questa statistica richiede un'analisi rigorosa e analitica delle falle sistemiche che hanno permesso un'infezione così rapida e pervasiva. Non siamo semplicemente di fronte a un'epidemia di malware standard; stiamo assistendo all'emergere di un sofisticato vettore di attacco che utilizza protocolli web legittimi per rendere obsoleti i tradizionali perimetri di sicurezza.

Dietro le quinte, il catalizzatore di questa epidemia digitale è una vulnerabilità nota come PolyShell. Questa falla colpisce Magento Open Source e Adobe Commerce, fornendo agli aggressori non autenticati un percorso per caricare eseguibili arbitrari tramite l'API REST. Una volta ottenuta l'esecuzione del codice, gli aggressori non si fermano al controllo lato server. Installano uno skimmer di pagamento altamente specializzato che rappresenta un salto significativo nella tecnologia stealth.

Rompere lo specchio: come WebRTC aggira il CSP

Per anni, i professionisti della sicurezza si sono affidati alla Content Security Policy (CSP) come difesa robusta contro il cross-site scripting e l'esfiltrazione di dati. Per progettazione, un CSP ben configurato indica al browser esattamente quali domini sono attendibili. Se uno script dannoso tenta di inviare dati di carte di credito rubati a un server non autorizzato tramite una richiesta HTTP standard, il browser lo blocca.

Tuttavia, lo skimmer PolyShell utilizza un espediente raffinato: i canali dati WebRTC (Web Real-Time Communication). Originariamente progettato per la comunicazione peer-to-peer a bassa latenza—si pensi alle videochiamate o alla condivisione di file—WebRTC consente ai dati di fluire direttamente tra i client o verso un server STUN/TURN.

In pratica, molte implementazioni CSP non sono abbastanza granulari da tenere conto di WebRTC. Mentre un team di sicurezza potrebbe monitorare rigorosamente connect-src per le chiamate API tradizionali, la natura decentralizzata di WebRTC spesso sfugge ai controlli. Lo skimmer utilizza questi canali dati per caricare il suo payload dannoso ed esfiltrare informazioni di pagamento sensibili. Dal punto di vista del rischio, ciò trasforma una funzionalità legittima in un cavallo di Troia digitale, consentendo ai dati rubati di aggirare il fossato del castello del filtraggio di rete tradizionale.

L'anatomia di un attacco PolyShell

La valutazione della superficie di attacco rivela un processo a più fasi tanto efficiente quanto dannoso. L'attacco inizia con lo sfruttamento dell'API REST, un componente mission-critical del moderno e-commerce che viene spesso lasciato esposto per motivi di interoperabilità. Poiché la vulnerabilità consente caricamenti non autenticati, la barriera all'ingresso è precariamente bassa.

Una volta che l'aggressore ha preso piede, inietta uno script nella pagina di checkout. Curiosamente, questo script non si comporta come gli skimmer di cinque anni fa. Ricordo di aver indagato sui primi incidenti MageCart in cui il malware inviava semplicemente una richiesta GET con dati codificati in base64 nell'URL. Era rumoroso e facile da individuare nei log del server. Al contrario, lo skimmer PolyShell è quasi invisibile. Utilizzando WebRTC, il traffico sembra un normale handshake peer-to-peer, rendendo l'analisi forense un incubo per i soccorritori che cercano solo richieste HTTP POST sospette.

Perché il patching da solo non è una soluzione miracolosa

Il patching viene spesso descritto come tappare i buchi nello scafo di una nave e, sebbene essenziale, raramente è una soluzione completa da solo. Nonostante la disponibilità di correzioni, la velocità di diffusione di PolyShell—con oltre 50 indirizzi IP che partecipano alla scansione di massa—suggerisce che molte organizzazioni stiano faticando a tenere il passo con lo scenario delle minacce.

A livello architettonico, il problema risiede nella fiducia intrinseca che riponiamo negli script di terze parti e nelle funzionalità integrate del browser. Quando un negozio viene compromesso, la violazione dei dati agisce come una fuoriuscita di petrolio; il disastro ambientale e reputazionale si diffonde ben oltre il punto di impatto iniziale. Per l'utente finale, l'esperienza è trasparente e apparentemente sicura, eppure i suoi dati finanziari più sensibili vengono incanalati attraverso un canale crittografato e decentralizzato direttamente nelle mani di un attore malevolo.

In termini proattivi: misure difensive

Per costruire una difesa più resiliente contro questa nuova generazione di skimmer, le organizzazioni devono guardare oltre le configurazioni predefinite. Una postura di sicurezza proattiva richiede un approccio multiforme all'integrità dei dati e alla privacy.

1. Verifica dell'accesso all'API REST: Assicurati che l'API REST di Magento o Adobe Commerce non sia esposta a Internet a meno che non sia assolutamente necessario. Implementa una whitelist rigorosa degli IP o livelli di autenticazione robusti.
2. Rafforzamento delle direttive CSP: La tua Content Security Policy deve essere aggiornata per gestire WebRTC. Nello specifico, esamina la direttiva connect-src e considera l'utilizzo di media-src o restrizioni specifiche relative a WebRTC se la tua piattaforma le supporta.
3. Monitoraggio dell'integrità: Utilizza il File Integrity Monitoring (FIM) per rilevare modifiche non autorizzate al codice sorgente del tuo e-commerce. Poiché lo skimmer deve essere iniettato nel frontend, qualsiasi modifica alla logica di checkout dovrebbe attivare un avviso immediato.
4. Analisi comportamentale: Cerca traffico WebRTC insolito proveniente dalle tue pagine di checkout. In questo contesto, qualsiasi connessione P2P avviata da una pagina che dovrebbe solo elaborare pagamenti è un enorme segnale di allarme.

In definitiva, l'incidente PolyShell serve a ricordare che il perimetro di rete è un concetto obsoleto nell'era dei sofisticati attacchi lato client. Dobbiamo trattare ogni funzionalità del browser come un potenziale percorso di esfiltrazione.

Prossimo passo operativo

Se utilizzi Magento Open Source o Adobe Commerce, la tua priorità immediata è verificare il livello di patch contro la vulnerabilità PolyShell. Una volta tappato il buco, conduci un audit forense dei tuoi script di checkout per assicurarti che non siano attivi skimmer basati su WebRTC. Non aspettare una notifica dal tuo elaboratore di pagamenti; la velocità di questo attacco suggerisce che, nel momento in cui ne verrai a conoscenza, i dati saranno già stati venduti sul dark web.

Fonti:

• Sansec Threat Intelligence Report on WebRTC Skimmers.
• Adobe Security Bulletin for Magento and Adobe Commerce.
• WebRTC Protocol Specifications and Security Guidelines.