科創板上市企業九號公司旗下國際品牌賽格威（Segway）遭黑客攻擊，在線商店被植入Magecart惡意腳本近1月（更新），顧客結賬過程的信用卡與個人信息可能遭到竊取；

　　Malwarebytes分析師認為，Magecart團伙可能利用了商店Magento CMS或某個配套插件的漏洞實現惡意代碼注入。

　　據外媒報道，國內知名電動平衡車品牌、科創板上市企業九號公司遭到黑客攻擊，旗下國際品牌賽格威（Segway）的在線商店被植入Magecart惡意腳本，可能在結賬過程中竊取客戶信用卡與個人信息。

　　賽格威的主要產品是兩輪平衡車和一系列個人代步工具，主要面向負責園區巡邏的安保人員、市內短途通勤用戶、高爾夫球愛好者以及其他休閑游樂設施內部的靈活移動場景。

　　新型攻擊手法：

　　利用圖標加載惡意腳本

　　MageCart攻擊是一種較流行的攻擊方式，指黑客入侵網站并植入惡意腳本，進而在購物過程中竊取信用卡及客戶信息。

　　過去幾年來，安全軟件對這類惡意腳本的檢測能力日益增強，也迫使攻擊者研究出更好的方法來隱藏自身行跡。

　　其中一種方式是將惡意信用卡收集程序嵌入到合法無害的網站圖標文件當中，這類文件負責在網頁的選項卡中顯示小尺寸網站徽標等圖標，向用戶快速提示當前頁面的顯示內容。

　　據Malwarebytes Labs發布的報告，惡意攻擊者將JavaScript腳本偽裝成網站版權顯示信息，添加到賽格威在線商店（store.segway.com）的頁面中，該腳本加載了暗藏惡意腳本的外部網站圖標。

　　用于加載惡意圖標的外部URL

　　雖然這個惡意網站圖標文件確實包含圖像內容，并能夠被瀏覽器所正確顯示，但其中還暗中夾帶著竊取支付信息的信用卡搜集程序腳本。除非我們使用十六進制編輯器進行分析，否則大家根本感受不到腳本的存在，如下圖所示。

　　嵌入在網站圖標中的搜集程序加載函數

　　自2020年以來，經驗豐富的Magecart團伙已經利用這項技術先后入侵了多個知名企業網站，包括Claire's、Tupperware、Smith & Wesson、Macy's以及英國航空等。

　　惡意代碼已植入近1月，

　　攻擊者疑為Magecart Group 12組織

　　Malwarebytes表示，負責此番入侵的具體攻擊小組為Magecart Group 12中的成員。Magecart Group 12的惡意活動完全以經濟利益為主導，而且至少從2019年開始就一直在竊取信用卡信息。

　　研究人員們表示，相應的惡意代碼至少從2022年1月6日起就已經出現在賽格威網站之上，他們已經與該公司取得聯系并分享了攻擊情況。

　　截至本文撰稿時，該惡意代碼仍存在于賽格威官網當中（更新：已修復），但已經被多種安全產品成功屏蔽。

　　ESET會阻止用戶訪問賽格威在線商店

　　Malwarebytes分析師認為，Magecart團伙可能是利用商店的Magento CMS或者某種配套插件的漏洞實現惡意代碼注入的。

　　遙測數據顯示，賽格威商店的大部分客戶來自美國本土（占比55%），其次是澳大利亞（占比39%）。

　　本文作者正在聯系賽格威以了解的更多消息，但對方目前尚未做出回復。

　　普通用戶該如何自保

　　此次賽格威在線商店遭入侵事件，是黑客利用知名網站攫取非法經濟利益的又一典型案例。

　　消費者們應該盡可能使用電子支付或者一次性卡，選擇更嚴格的扣款審核政策，甚至可以優先選擇貨到付款，以避免受到此類攻擊影響。

　　另外，可以使用互聯網安全工具檢測并屏蔽結賬頁面中可能加載的惡意JavaScript腳本。畢竟一旦信用卡被盜，后續的麻煩事著實令人抓狂。