Si la carga útil de Magecart está oculta dentro de los datos EXIF de un favicon de terceros cargado dinámicamente, el código malicioso nunca toca el repositorio y los escáneres del repositorio no pueden detectarlo. Si su equipo emplea Claude Code Security para el análisis estático, este es el límite técnico exacto donde se detiene el escaneo del código de IA y comienza la ejecución del tiempo de ejecución del lado del cliente.
Puede encontrar un análisis detallado de dónde se detiene Claude Code Security y el alcance del monitoreo del tiempo de ejecución aquí.
El skimmer Magecart recientemente descubierto utilizó una cadena de carga de tres etapas para ocultar su carga útil dentro de los metadatos EXIF del favicon. Nunca tocó el código fuente del comerciante, nunca fue visible en el repositorio y se ejecutó completamente dentro del navegador del comprador al momento de pagar. Este ataque plantea preguntas que vale la pena señalar. Se trata de qué categoría de herramientas se supone que capturan esto.
Magecart existe fuera del código base
Los ataques al estilo Magecart rara vez se refieren a vulnerabilidades clásicas en el código fuente propietario. Son una intrusión en la cadena de suministro. El JavaScript malicioso generalmente llega a través de activos de terceros comprometidos: administradores de etiquetas, widgets de pago/pago, herramientas de análisis, scripts alojados en CDN e imágenes cargadas en el navegador en tiempo de ejecución. La organización víctima no escribió el código, no lo revisó en PR y, en muchos casos, el código no existe en absoluto en el repositorio.
Esto significa que las herramientas de análisis estático basadas en repositorios, como Claude Code Security, están limitadas por diseño en este escenario, ya que solo pueden analizar contenido dentro del repositorio o contenido que usted introduce explícitamente en el repositorio. Los skimmers que existen sólo en recursos de terceros modificados o en archivos binarios cargados dinámicamente en producción nunca están a la vista. Esto no es un error del producto. Es una discrepancia en el alcance.
Flujo de ataque: cómo se esconden los skimmers
A continuación se muestra el cargador inicial visto en el sitio web comprometido.
Este código auxiliar carga dinámicamente un script que parece una URL CDN legítima de Shopify. Luego, el script cargado utiliza la matriz de índice ofuscada para construir la URL maliciosa real.
Cuando se decodifica, esto apunta a //b4dfa5(.)xyz/favicon.ico. Lo que sucede a continuación es lo que hace que esta técnica sea interesante. El script recupera el favicon como datos binarios, analiza los metadatos EXIF para extraer la cadena maliciosa y la ejecuta mediante la nueva función (). La carga útil reside dentro de los metadatos de la imagen, por lo que es invisible para los navegadores que no la supervisan en tiempo de ejecución.
La llamada de extracción final envía silenciosamente los datos de pago robados a un servidor controlado por el atacante.
Esta cadena tiene cuatro propiedades que son importantes para la descripción de la herramienta a continuación. El cargador inicial parece una inclusión benigna de terceros. La carga útil está oculta en metadatos de imágenes binarias. La filtración se realiza directamente desde el navegador del comprador. Y nada de eso requiere tocar el código fuente del propio vendedor.
Lo que puedes y no puedes ver con Claude Code Security
Claude Code Security está diseñado para escanear su base de código, rastrear flujos de datos y sugerir soluciones para vulnerabilidades en el código que usted o su equipo escriben. Si bien esto ayuda a proteger las aplicaciones propias, también define un punto ciego para esta clase de ataque.
En este escenario, prácticamente no hay visibilidad del código malicioso que nunca se almacena en el repositorio y solo se inyecta en scripts alojados por terceros, CDN o administradores de etiquetas. Tampoco puede inspeccionar cargas útiles ocultas en activos binarios como favicons o imágenes que no forman parte del árbol de origen. No es posible evaluar el riesgo o la reputación real de un dominio controlado por un atacante que sólo aparece en tiempo de ejecución. También se extiende a la detección en tiempo real de solicitudes de red anómalas del lado del navegador durante el pago.
Esto puede tener un impacto (aunque no como control principal) si su propio código contiene lógica de inyección de script dinámica, un patrón que las herramientas de análisis de código pueden marcar como peligroso. Además, si el código propio codifica puntos finales de exfiltración sospechosos o utiliza una lógica de recopilación de datos insegura, el análisis estático puede resaltar y revisar esos flujos.
Las cuatro líneas superiores son las más importantes en el escenario Magecart, pero Claude Code Security no puede verlas en tiempo de ejecución.
Los dos últimos representan amenazas fundamentalmente diferentes. Es decir, un desarrollador escribe accidentalmente código malicioso en su repositorio.
Magecart es un vector, no toda la superficie de ataque
La técnica de esteganografía de favicon descrita anteriormente es sofisticada, pero es un ejemplo de un patrón más amplio. Los ataques a la cadena de suministro web llegan a través de varios mecanismos diferentes, cada uno con las mismas características. Esto significa que la actividad maliciosa ocurre en tiempo de ejecución, dentro del navegador y a través de activos no creados por el vendedor. Vea cómo el JavaScript polimórfico generado por IA es rentable →
Hay algunos otros que vale la pena mencionar.
Inyección maliciosa de iframe. Un widget de terceros comprometido superpone silenciosamente un formulario de pago legítimo con un iframe controlado por un atacante. El usuario ve la página real, pero las pulsaciones de teclas se envían al atacante. No se realizan cambios en el repositorio del comerciante.
Explotación del rastreador de píxeles. Los píxeles de análisis y publicidad, que son casi universales en los sitios de comercio electrónico, se cargan desde CDN externos. Si estas CDN se ven comprometidas, o el propio proveedor de píxeles se ve comprometido, el código de seguimiento que se ejecuta en cada página se convierte en un canal de exfiltración. El código del comerciante continúa llamando al mismo punto final de apariencia legítima que antes.
Colección de credenciales basada en DOM. Un script cargado a través de Tag Manager escucha silenciosamente los eventos del campo del formulario en la página de inicio de sesión o de pago y captura los datos antes de enviarlos. Este ataque no es visible para los escáneres estáticos y reside completamente en los controladores de eventos registrados en tiempo de ejecución.
Cada uno de estos sigue la misma lógica que el caso Magecart. Es decir, las amenazas existen fuera del repositorio, se ejecutan en un contexto no observable para el análisis estático y apuntan a la brecha entre lo que se envía y lo que realmente se ejecuta en el navegador de un usuario. En la guía vinculada a continuación se explica en detalle cómo se asigna cada vector a la cobertura de la herramienta y cómo se ve un programa de defensa en profundidad para todos ellos.
Por qué la supervisión del tiempo de ejecución es importante (pero no el único control)
Para amenazas a la cadena de suministro web como esta campaña de Magecart, el monitoreo continuo de lo que realmente se está ejecutando en el navegador de un usuario es una capa clave de visibilidad directa cuando ocurre un ataque. Las plataformas de monitoreo del tiempo de ejecución del lado del cliente responden algunas preguntas que las herramientas estáticas no pueden responder. «¿Qué código se está ejecutando actualmente en el navegador del usuario y qué está haciendo?»
Al mismo tiempo, la supervisión del tiempo de ejecución es sólo una parte del panorama. Esto funciona mejor como parte de una estrategia de defensa en profundidad. El análisis estático y la gobernanza de la cadena de suministro reducen la superficie de ataque, y el monitoreo del tiempo de ejecución detecta lo que se escapa y lo que reside completamente fuera del repositorio.
Reconfigurando las “pruebas”: categorías en lugar de habilidades
Evaluar herramientas centradas en repositorios como Claude Code Security contra ataques en tiempo de ejecución es un error de categoría, no una falla del producto. Es como esperar que un detector de humo apague un incendio. Es la herramienta equivocada para el trabajo, pero es la herramienta ideal para el propósito para el que fue diseñada. Un edificio a prueba de incendios requiere detectores de humo y extintores, y un sitio web seguro requiere Claude Code Security y monitoreo del tiempo de ejecución en la pila. Magecart y ataques similares de skimming del lado del cliente requieren una ventana de ejecución en el navegador. El escaneo de repositorios estáticos por sí solo no puede determinar dónde existen realmente estos ataques.
Si está asignando herramientas a clases de amenazas a nivel CISO, hemos elaborado una breve guía sobre cómo la seguridad del código y el monitoreo del tiempo de ejecución funcionan juntos en todos los vectores de la cadena de suministro web, y dónde cada uno se vuelve inútil.
Guía de seguridad del Código Claude del CISO →
Guía de seguridad del Código Claude del CISO →
Source link
