文章总结： 全球前十零售巨头电商网站遭PrestaShop支付窃取器攻击，采用双击式窃取技术植入仿真假支付界面。恶意代码兼容多平台，监听结账输入并外传数据，具备管理员检测与痕迹清除功能。生成式AI加速了此类前端劫持攻击，建议消费者使用虚拟卡降低风险，商户需警惕前端篡改威胁。 综合评分： 78 文章分类： 安全大事件,恶意软件,WEB安全,威胁情报

【安全圈】全球零售巨头电商遭植入支付窃取器：PrestaShop 商城被“二次下单”攻击

安全圈

2026年2月26日 19:01 美国

关键词

网络攻击

安全公司 Sansec 披露，一家全球前十的大型连锁超市电商网站被植入数字支付窃取器（payment skimmer）。该集团年营收约1000亿欧元，在25个国家拥有超过1万家门店，其部分电商系统基于 PrestaShop 构建。

研究人员称，恶意代码最早于2月16日被发现，并多次尝试通过邮件、security.txt 以及 LinkedIn 联系企业 CISO，但在数日后窃取器仍然在线运行。

此次攻击采用一种被称为“双击式窃取”（double-tap skimming）的技术。随着越来越多商户使用符合 PCI-DSS 标准的托管支付页面，攻击者不再直接拦截真实支付表单，而是在结账页面插入一个高度仿真的假支付界面。用户第一次输入卡号、有效期和 CVV 时，数据已被窃取；随后页面无缝跳转至真正的支付页面，用户误以为第一次失败，再次输入信息完成支付。整个过程几乎无感。

技术分析显示，该窃取器基于可复用框架，兼容 WordPress、Magento、PrestaShop、OpenCart 等主流电商系统。脚本仅在结账页面激活，并利用 localStorage 保存数据，监听所有输入框及动态下拉组件（如 Select2、Vue Select），捕获 cardNum、exp、cvv 等字段。数据被 Base64 编码后，通过伪装成“分析接口”的 GET 请求外传至恶意域名 stylemercedes.top。

为了避免被商家发现，脚本会检测访问者是否为管理员账号，如检测到后台身份即终止执行。同时还具备“强制隐藏”机制，即便网站自身脚本尝试恢复原始支付页面，恶意覆盖层仍会保持生效。数据外传后，代码会删除自身痕迹、恢复原页面，并自动触发合法支付流程。

研究人员指出，生成式 AI 正在加速此类攻击。攻击者可以快速生成多语言、品牌一致的支付界面覆盖层，使其在不同国家市场看起来完全“合法”。

这一事件再次表明，电商风险已从“服务器入侵”转向“前端支付流程劫持”。即便商户采用合规的第三方托管支付，只要前端页面被篡改，用户仍可能在不知情情况下泄露卡信息。对于消费者而言，使用一次性虚拟卡或预充值卡进行线上支付，是降低风险的有效方式。

随着攻击工具框架化、自动化，支付页面已成为当前电商生态中最具价值的攻击入口之一。

END

阅读推荐

【安全圈】男子为向健身房要装修款远程破坏计算机系统被拘

【安全圈】AI 竟能 “挖穿” 大疆扫地机？普通人靠 Claude 入侵全球 6700 台设备，智能家居安全警钟炸响

【安全圈】外包商系统遭黑客入侵，沃尔沃集团近1.7万名北美员工资料外泄

【安全圈】OpenClaw 被大规模利用，上千实例沦陷

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】全球零售巨头电商遭植入支付窃取器：PrestaShop 商城被“二次下单”攻击》