电子商务窃取程序的隐秘演变：WebRTC 如何绕过数字护城河

PolyShell 漏洞利用的惊人速度

在 2026 年 3 月 19 日之后的一周内，惊人的 56.7% 的受漏洞影响的 Magento 和 Adobe Commerce 商店被单一漏洞链攻破。这一统计数据要求对允许如此快速和普遍感染的系统性缺陷进行严谨、分析性的细分。我们不仅仅是在看一个标准的恶意软件爆发；我们正在见证一种复杂的攻击向量的出现，它将合法的网络协议武器化，使传统的安全边界失效。

在幕后，这场数字流行病的催化剂是一个名为 PolyShell 的漏洞。该漏洞影响 Magento 开源版和 Adobe Commerce，为未经身份验证的攻击者提供了通过 REST API 上传任意可执行文件的路径。一旦实现代码执行，攻击者并不会止步于服务器端控制。他们会安装一种高度专业化的支付窃取程序（skimmer），这代表了隐形技术的一次重大飞跃。

打破镜像：WebRTC 如何绕过 CSP

多年来，安全专业人员一直依赖内容安全策略 (CSP) 作为防御跨站脚本和数据外泄的强大防线。根据设计，配置良好的 CSP 会明确告知浏览器哪些域名是可信的。如果恶意脚本尝试通过标准 HTTP 请求将盗取的信用卡数据发送到未经授权的服务器，浏览器会将其阻止。

然而，PolyShell 窃取程序采用了一种微妙的变通方法：WebRTC（网页实时通信）数据通道。WebRTC 最初设计用于低延迟、点对点通信——如视频通话或文件共享——允许数据直接在客户端之间或流向 STUN/TURN 服务器。

在实践中，许多 CSP 实现的粒度不足以涵盖 WebRTC。虽然安全团队可能会严格监控传统 API 调用的 connect-src，但 WebRTC 的去中心化特性往往会成为漏网之鱼。窃取程序利用这些数据通道加载其恶意负载并外泄敏感支付信息。从风险角度来看，这使一个合法功能变成了数字特洛伊木马，允许盗取的数据绕过传统网络过滤的城堡护城河。

PolyShell 攻击剖析

评估攻击面揭示了一个既高效又恶意的多阶段过程。攻击始于对 REST API 的利用，这是现代电子商务中任务关键型的组件，通常为了互操作性而暴露在外。由于该漏洞允许未经身份验证的上传，进入门槛极低。

一旦攻击者站稳脚跟，他们就会在结账页面注入脚本。好奇的是，这个脚本的行为不像五年前的窃取程序。我记得调查早期的 MageCart 事件时，恶意软件只会发送一个带有 URL 中 base64 编码数据的 GET 请求。这很嘈杂，在服务器日志中很容易被发现。相比之下，PolyShell 窃取程序几乎是隐形的。通过使用 WebRTC，流量看起来像标准的点对点握手，这使得法证分析对于仅寻找可疑 HTTP POST 请求的事件响应人员来说成了一场噩梦。

为什么仅靠打补丁并非万灵药

打补丁通常被描述为堵住船体的漏洞，虽然至关重要，但其本身很少是全面的解决方案。尽管已有修复程序，但 PolyShell 部署的速度——有超过 50 个 IP 地址参与大规模扫描——表明许多组织正难以跟上威胁态势的步伐。

在架构层面，问题在于我们对第三方脚本和浏览器内置功能的固有信任。当商店被攻破时，数据泄露就像石油泄漏一样；环境和声誉灾难的蔓延远超初始影响点。对于终端用户来说，体验是透明且看似安全的，然而他们最敏感的财务数据正通过加密、去中心化的通道直接汇入威胁行为者的手中。

主动应对：防御措施

为了针对这种新型窃取程序建立更具韧性的防御，组织必须超越开箱即用的配置。主动的安全态势需要一种多维度的方法来维护数据完整性和隐私。

1. 审计 REST API 访问： 确保您的 Magento 或 Adobe Commerce REST API 除非绝对必要，否则不会暴露在公共互联网上。实施严格的 IP 白名单或强大的身份验证层。
2. 加强 CSP 指令： 必须更新您的内容安全策略以应对 WebRTC。具体而言，查看 connect-src 指令，并考虑使用 media-src 或特定于 WebRTC 的限制（如果您的平台支持）。
3. 完整性监控： 使用文件完整性监控 (FIM) 检测对电子商务代码库的未经授权更改。由于窃取程序必须注入前端，结账逻辑的任何更改都应触发即时警报。
4. 行为分析： 寻找源自结账页面的异常 WebRTC 流量。在此框架下，从仅应处理付款的页面发起的任何 P2P 连接都是巨大的警示信号。

最终，PolyShell 事件提醒我们，在复杂的客户端攻击时代，网络边界是一个过时的概念。我们必须将每个浏览器功能都视为潜在的外泄路径。

可操作的下一步

如果您正在运行 Magento 开源版或 Adobe Commerce，您的当务之急是验证针对 PolyShell 漏洞的补丁级别。 一旦漏洞被堵住，请对您的结账脚本进行法证审计，以确保当前没有活动的基于 WebRTC 的窃取程序。不要等待付款处理机构的通知；这种攻击的速度表明，等到您听说它时，数据可能已经在暗网上出售了。

资料来源：

• Sansec Threat Intelligence Report on WebRTC Skimmers.
• Adobe Security Bulletin for Magento and Adobe Commerce.
• WebRTC Protocol Specifications and Security Guidelines.