Gli attacchi Magecart rappresentano una delle minacce più insidiose per la sicurezza e-commerce perché non sfruttano per forza vulnerabilità nel codice proprietario del negozio online. Il loro punto di forza è la supply chain del web, cioè la catena di risorse di terze parti caricate nel browser degli utenti durante la navigazione e soprattutto al checkout. In questo scenario la differenza tra analisi statica del codice e monitoraggio runtime diventa fondamentale per impostare un threat model corretto.

Un caso recente mostra una tecnica avanzata in cui lo skimmer Magecart nasconde il payload dentro i metadati EXIF di una favicon caricata dinamicamente. Questo significa che il codice malevolo non entra mai nel repository del merchant e non compare nelle pull request.

Flusso tipico dell’attacco (multi-stadio)

• Loader iniziale: un primo loader JavaScript appare come una normale inclusione di terze parti e scarica uno script da un URL che sembra legittimo, ad esempio tramite CDN note.
• Costruzione offuscata dell’URL: lo script successivo costruisce in modo offuscato l’indirizzo reale del contenuto malevolo e punta a una favicon remota.
• Estrazione del payload da EXIF: la favicon viene letta come dato binario, i metadati EXIF vengono analizzati per estrarre una stringa contenente codice JavaScript e il payload viene eseguito nel browser con funzioni dinamiche.
• Esfiltrazione dati: i dati di pagamento vengono esfiltrati con una richiesta POST verso un server controllato dagli attaccanti, senza che il sito debba modificare il proprio codice sorgente.

Questa dinamica chiarisce perché un tool di code security basato su repository e static analysis non può intercettare un attacco che vive fuori dal codebase. L’analisi statica può individuare pattern rischiosi nel codice interno, come logiche di iniezione dinamica di script o flussi dati sospetti, ma non vede script caricati a runtime da tag manager, widget di pagamento, strumenti di analytics o asset su CDN esterne. Non vede nemmeno payload nascosti in immagini e favicon e non può valutare in tempo reale domini che compaiono solo durante l’esecuzione nel browser.

Per ridurre il rischio Magecart e di attacchi client-side simili serve monitorare ciò che viene realmente eseguito nel browser degli utenti, includendo modifiche a risorse di terze parti, anomalie nel DOM, iframe malevoli, abusi di pixel tracker e richieste di rete non previste durante il checkout.