安全公司Sansec近日警告，安全漏洞PolyShell已出现实际攻击行动，近六成的电商平台Adobe Commerce与Magento被上传恶意PHP程序，目前有人疑似利用该漏洞实施在线交易的银行卡窃取攻击。

Sansec揭露了一种新型银行卡窃取恶意程序（skimmer）活动，与以往的窃取行为最大不同在于，攻击者利用点对点通信技术Web Real-Time Communication（WebRTC）来外泄数据，目的是绕过传统基于HTTP的安全防护机制。Sansec指出，这是他们首次发现有人滥用WebRTC的情况。

该窃取工具通过WebRTC DataChannel与命令与控制（C2）服务器建立连接，并利用DTLS加密的UDP通信传输窃取的数据，使流量难以被现有监控工具和内容安全策略（CSP）拦截。值得注意的是，研究人员在近两个月内，于五家市值数十亿美元的企业中发现了此类银行卡窃取工具，其中一家是美国前三大银行之一，最新受害企业是一家市值超过千亿美元的汽车制造商，Sansec已向该制造商发出通报，但尚未收到回复。

尽管此次攻击的核心在于滥用WebRTC，但Sansec指出，黑客入侵电商平台的手法，很可能正是近期大规模活动的PolyShell漏洞。

针对攻击过程，黑客首先使用轻量级JavaScript加载器，建立WebRTC连接并接收第二阶段恶意载荷。该过程可通过复用现有的script nonce或利用unsafe-eval等方式绕过CSP限制，进一步提升隐蔽性。

此外，恶意程序会刻意延迟执行，例如通过requestIdleCallback机制，降低被检测的概率。成功执行后，攻击者即可截获用户在结账页面输入的信用卡信息，并发送至远程服务器。

为何WebRTC能绕过大多数企业电商平台的安全防护？Sansec指出，原因是WebRTC是一种对等连接机制，其运作方式超出了CSP规范的覆盖范围。尽管Chrome已开始测试引入特定CSP指令支持，但由于CSP尚未标准化，目前几乎没有任何网站部署相关防护，因此利用WebRTC可轻松绕过绝大多数电商平台的防护。

此外，WebRTC DataChannels并不使用常见的HTTP连接，而是通过DTLS加密的UDP通信传输数据，而大多数网络安全部署仅监控HTTP流量，难以发现此类通信渠道的数据外泄行为。