Дослідники компанії Sansec виявили новий тип шкідливого програмного забезпечення — так зваий «платіжний скімер», тобто програму, яка непомітно зчитує банківські дані покупців на сторінках оплати. Унікальність цього скімера полягає в тому, що для передачі вкраденої інформації він використовує технологію WebRTC — стандартний веб-протокол для відеодзвінків та обміну даними в реальному часі у браузері. Замість звичних HTTP-запитів, які системи захисту легко блокують, шкідливий код встановлює WebRTC-з’єднання напряму до сервера зловмисника за IP-адресою 202.181.177[.]177 через UDP-порт 3479 і звідти завантажує подальшу шкідливу логіку, а потім надсилає назад вкрадені платіжні дані. Це дозволяє скімеру обходити Content Security Policy — один із ключових механізмів браузерного захисту, який забороняє сторінці завантажувати сторонній код. Атаку зафіксовано на сайті автовиробника, що працює на платформі Magento/Adobe Commerce.

Проникнення стало можливим завдяки вразливості PolyShell — критичній помилці в REST API платформи Magento Open Source та Adobe Commerce. Вона дозволяє будь-якому відвідувачу без автентифікації завантажити на сервер довільний виконуваний файл, замаскований під зображення. Adobe випустила виправлення для PolyShell у попередній версії 2.4.9-beta1, однак воно досі не потрапило у виробничі версії платформи. З 19 березня 2026 року масова експлуатація вразливості різко зросла — у сканувальній активності задіяно понад 50 окремих IP-адрес. Компанія Sansec зафіксувала ознаки атак PolyShell на 56,7% усіх вразливих магазинів. Паралельно дослідники Netcraft виявили окрему хвилю дефейсів, починаючи з 27 лютого 2026 року атакувальники завантажили текстові файли на близько 15 000 хостів з 7 500 доменів, серед яких інфраструктура Asus, FedEx, Fiat, Lindt, Toyota та Yamaha.