过往黑客针对特定电商网站平台发动攻击的情况不时传出，如今有人同时攻击多种电商平台的情况，引起研究人员提出警告。

资安业者Sucuri揭露同时锁定不同电子商务平台发动攻击的信用卡侧录程序Caesar Cipher Skimmer，这是名为gtag的侧录工具变种，并在近期侦测到大量攻击的情况，他们在2周内得知近80起事故。

他们指出攻击者锁定的目标，涵盖多种内容管理平台（CMS）及电子商务平台，包括部署WooCommerce插件程序的WordPress平台，以及Magento和OpenCart。研究人员表示，虽然黑客使用相同恶意程序攻击不同电商平台相当常见，但大部分都是先后锁定不同环境下手，像这次一口气攻击多种平台的情况算是罕见。

针对这起攻击行动的手法，研究人员指出对方企图将恶意代码伪装成网站分析工具Google Analytics、网站关键字管理工具Google Tag Manager，并经过混淆处理。经过他们的分析，这些代码使用了「凯撒密码（Caesar Cipher）」重新编码恶意内容，目的是隐藏用来存放恶意酬载的网域。

这些代码的主要功能，其实是用来加载另一个经过混淆处理的JavaScript脚本，一旦运行，就会创建WebSocket信道，并与远程服务器连接，下载另一个侧录工具，其中部分的第二层脚本甚至能检查是否有WordPress用户将其加载。

研究人员发现，部分版本的脚本有俄文注解，推测攻击者很有可能来自使用这种语言的国家。

而针对不同电商平台的攻击手法，也有所差异，针对WooCommerce平台，攻击者有可能针对与结帐有关的PHP文件form-checkout.php下手，但也有滥用另一个WordPress插件程序WPCode注入恶意代码的情况。

关于渗透Magento平台的伎俩，Sucuri研究人员主要是在core_config_data这个数据库的数据表找到，因为被塞入Magento系统管理主控台的恶意代码，就是存放在这里。

至于OpenCart平台如何被攻破，尚无客户出面表示他们的系统是在何处受到感染，因此，Sucuri无法完全确定这些恶意程序暂存的位置，后续若有更明确的消息会再发布。