【安全圈】SMILODON 木马通过伪造 PNG 潜入 WooCommerce 执行支付信息窃取

关键词

网络攻击

Wordfence 威胁情报团队发现一起高度隐蔽且技术成熟的恶意活动，攻击者通过一个伪装成合法工具的恶意 WooCommerce 插件入侵 WordPress 电商站点，并将窃取代码巧妙地藏匿在伪造的 PNG 图片中以规避检测。该恶意插件常使用类似真实插件的名称，如 jwt-log-pro、cron-environment-advanced、share-seo-assistant 等，安装后悄无声息地激活自身，甚至从插件列表和表视图中隐藏条目以降低被发现的风险。插件内部的函数名、变量和文本字符串均由随机生成器混淆处理，使分析更加困难。

该攻击链采用多层次的持久化和隐蔽策略。恶意代码会为所有具有作者及以上权限的用户记录活动，设置一个持久追踪 Cookie（pxcelPage_c01002），借此识别返回的管理员并对其隐藏恶意行为，以保持站点表面的正常运行。登录凭证的窃取分为两步：恶意脚本先将用户输入的用户名和密码临时存入 Cookie，然后在登录成功时再将这些凭证批量外发，从而避开常规的实时监测。被窃取的数据经加密与混淆后，传送至攻击者的命令服务器，典型的受害数据接收端包括 hxxps://badping[.]info/SMILODON/index_b.php?view= 等地址。

为了维持远程控制与便于更新，攻击者在站点上植入了两个基于 AJAX 的后门接口，这两个端点通过 Cookie 认证绕过了 WordPress 的原生验证机制。其中一个端点用于动态下发或更新 JavaScript 盗刷负载，另一个则允许攻击者通过临时文件执行任意 PHP 代码，从而获得对受感染站点的完全掌控。更具迷惑性的技术是，攻击者将 JavaScript 盗刷载荷嵌入伪造的 PNG 文件并部署为网站静态资源。这些伪造图片在文件头部保留了看似合法的 PNG 标识（‰PNG），其后跟随的是经反转并以自定义 base64 编码的脚本内容。攻击使用三类伪造图片维持冗余：主负载文件、每日更新的动态负载以及作为后备的静态负载，这样即使某一文件被移除或损坏，盗刷功能仍可继续运行。

注入到 WooCommerce 结账页面的 JavaScript 在页面加载后三秒激活以避免干扰基于 AJAX 的结账流程，并且包含伪装的验证机制以安抚用户。脚本在顾客填写信用卡信息后将卡号、有效期与 CVV 等数据先发送回被感染的站点，再由站点外发到攻击者控制的外部服务器，例如 hxxps://geterror[.]info/SMILODON/index.php?view=，在部分案例中，窃取的数据还通过邮件回传到与俄罗斯邮箱服务 Rambler 相关的地址（to.duraku@rambler[.]ru）作为备用通道。

Wordfence 将这次行动与 Magecart 威胁组织第 12 组联系起来，理由包括 SMILODON 字样在两个指挥控制服务器 URL 中出现、共享的基础设施与自 2021 年以来可见的代码模式重合。研究人员还指出，有两枚相关域名托管在 IP 地址 121.127.33[.]229 上，该 IP 与该组织过往的钓鱼与盗刷行动有关联。

综合来看，这一活动展示了现代电商站点面临的复杂威胁：攻击者通过伪装插件、图像隐写、Cookie 持久化与双端口后门相结合，既能长期潜伏又能灵活更新窃取逻辑。对站点所有者而言，排查未知插件、校验静态资源的一致性、加强对高权限账户的监控与对异常 AJAX/文件操作的检测，是抵御此类高度定制化 skimmer 攻击的关键措施。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！