Нідерландська компанія Sansec, що спеціалізується на безпеці електронної комерції, виявила активну хакерську кампанію, спрямовану на плагін Funnel Builder для платформи WordPress. Зловмисники експлуатують критичну вразливість, яка дозволяє їм без авторизації надсилати спеціальні запити до глобальних налаштувань плагіна та перезаписувати їх. Через цю прогалину хакери додають шкідливі скрипти у розділ зовнішнього коду, який автоматично завантажується на сторінках оформлення замовлень інтернет-магазинів. Проблема безпосередньо зачіпає понад 40 000 онлайн-майданчиків, які використовують систему WooCommerce для торгівлі та обробки платежів.

Технічний аналіз показав, що зловмисники маскують свої інструменти під легітимні аналітичні сервіси, зокрема додаючи фальшиві кодові вставки під виглядом Google Tag Manager. Впроваджений код працює як непомітний завантажувач: він зв’язується з віддаленим сервером управління хакерів, передає технічні дані про заражений сайт та очікує подальших інструкцій. Кінцевою фазою атаки є активація платіжного скімера — цифрового інструменту, який перехоплює номери кредитних карток, CVV-коди, імена та платіжні адреси покупців безпосередньо в момент їх введення у кошику. Розробники з компанії FunnelKit підтвердили інцидент і випустили виправлення безпеки у версії плагіна 3.15.0.3.