Os operadores de lojas on-line que usam o Magento Open Source e o Adobe Commerce versão 2 enfrentam uma ameaça real e estendida: nas últimas semanas foi observada uma exploração massiva de uma vulnerabilidade crítica conhecida na comunidade como "PolyShell". De acordo com a equipe de investigação de segurança do eCommerce Sansec, os ataques passaram a ser testes pontuais para uma campanha ativa em questão de dias após a realização pública da falha, e hoje afetam uma porção significativa das lojas vulneráveis.
PolyShell aproveita uma fraqueza na API REST de Magento que permite a subida de arquivos dentro das opções personalizadas do carrinho. Esse canal de carregamento pode aceitar arquivos "poliglotas" —arquivos concebidos para serem interpretaveis de diferentes formas pelo servidor e pelo navegador — o que em determinadas configurações do servidor permite executar código remotamente ou injetar scripts persistentes (stored XSS) que facilitem a tomada de contas ou a injeção de malware nas páginas de pagamento. Os pesquisadores de Sansec têm detalhado a técnica e mantêm uma análise pública sobre como esses ataques ocorrem: análise técnica de Sansec.
A escala do problema é preocupante: Sansec indica que a exploração massiva começou ao redor de 19 de março e, desde então, identificaram atividade maliciosa em mais de metade das lojas que ainda são vulneráveis. A assinatura também publicou indicadores de compromisso e uma lista de endereços IP usados pelos atacantes para digitalizar sites em busca de portas de entrada, informações úteis para equipamentos de resposta e provedores de segurança que queiram bloquear o tráfego suspeito ou detectar tentativas de intrusão.
A Adobe reagiu liberando um adesivo em uma versão beta do produto (o ramo 2.4.9-beta1) em 10 de março de 2026, mas essa correção ainda não estava disponível na versão estável no momento dos relatórios, o que deixa muitas instalações em produção sem uma solução oficial imediata. O Adobe documentou as mudanças e as notas da versão em seu portal de Experience League: notas da versão 2.4.9-beta1. Entretanto, pesquisadores e jornalistas tentaram obter esclarecimentos sobre o calendário de implantação do adesivo nos ramos de produção.
O que complica ainda mais o panorama é a natureza do malware que alguns atacantes estão instalando após explodir PolyShell. Sansec encontrou um skimmer para cartões de pagamento que utiliza o Web Real-Time Communication (WebRTC) como canal para extrair dados. Usar o WebRTC permite aos atacantes transmitir informações por DTLS sobre o UDP em vez de HTTP, o que dificulta que os controlos baseados em políticas de conteúdo (CSP) detectem ou bloqueem a ex-filtração. O carregador malicioso é um JavaScript muito leve que estabelece uma conexão com um servidor de comando e controle (C2) usando uma troca de SDP falsificado, recebe uma segunda etapa cifrada e executa no contexto da página. Para aumentar a sua probabilidade de escapar de detecções, o componente retarda a sua execução com técnicas como requestIdleCallback e reutiliza nonces de scripts legítimos ou recorre a técnicas mais arriscadas como unsafe-eval ou a injeção direta de scripts quando necessário.
Sansec até documentou a presença deste skimmer na loja online de uma grande empresa automóvel, com um valor de mercado de mais de 100 mil milhões de dólares, e alerta de que algumas notificações às vítimas podem não ter recebido resposta. O relatório de Sansec com o despiece técnico do skimmer e os endereços IP envolvidos está disponível aqui: WebRTC skimmer — Sansec.
O que os responsáveis por lojas e equipamentos de segurança podem fazer? Embora a única solução definitiva passe por aplicar o adesivo oficial assim que a Adobe o incorpore no ramo estável, existem medidas paliativas que reduzem o risco. Entre as ações urgentes está revisar e endurecer a configuração do servidor web para evitar que arquivos subidos possam ser executados, restringir ou desactivar as cargas de arquivos a partir de locais não imprescindíveis e monitorar os endpoints da API REST que gerem opções de carrinho. Também é recomendável utilizar os indicadores de compromisso que Sansec disponibilizou para detectar visitas de scanners automatizados e bloquear endereços IP maliciosas a nível de perímetro. Não se deve confiar apenas em políticas CSP para este tipo de ameaças baseadas na WebRTC, pelo que as equipes de segurança devem complementar com controles de saída de rede e análise de comportamento no frontend.
A lição é clara: as plataformas de eCommerce são alvo privilegiado para ladrões de credenciais e skimmers porque um único compromisso pode traduzir-se em perda maciça de dados de pagamento e danos reputacionais. Manter-se por dia com os adesivos, monitorar anomalias nas transações e responder rapidamente aos indicadores de compromisso publicados por grupos de pesquisa aumenta drasticamente as chances de detectar e mitigar esses incidentes antes de causar danos graves.
Para aqueles que querem aprofundar os detalhes técnicos e obter as listas de IPs e IoCs publicadas, o relatório de Sansec sobre PolyShell e o skimmer por WebRTC são recursos recomendados: PolyShell — Sansec e WebRTC skimmer — Sansec. E para conhecer o estado do adesivo oficial pelo Adobe, convém seguir as notas da versão em seu portal: notas da versão 2.4.9-beta1.
Se você gerencia uma loja baseada em Magento ou trabalha na segurança de uma, não espere que o exploit apareça em seus registros: prioriza a avaliação de risco e o lançamento de controles compensatórios agora mesmo. Esta não é uma vulnerabilidade teórica: o ataque está em andamento e os maus atores já estão usando para roubar dados de clientes e montar campanhas automatizadas contra lojas desprotegidas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...