Sucuri研究人员上周在一篇博客文章中介绍，最近发现的一种WordPress信用卡窃取恶意软件被隐藏在受攻击网站的数据库中的一个表条目内，使用传统方法难以检测。

　　该混淆的JavaScript代码被发现在wp_options表中，被设置为option_value，而option_name被设置为widget_block。然后在WordPress管理面板下的wp-admin > 小工具中找到了包含恶意代码的HTML块小工具。

　　Sucuri研究人员指出，这种数据库注入使恶意代码能够在网站上静默存在，而不被文件扫描安全工具察觉。一旦代码到位，它就会等待用户在该网站上进行支付操作，然后激活以窃取包括信用卡号、有效期、CVV码和账单信息在内的信息。

　　动态WordPress信用卡窃取软件使用多种方法窃取数据

　　该恶意脚本仅在检测到页面URL包含“checkout”一词时才会激活，同时排除包含“cart”一词的URL，以确保仅在用户期望提交支付信息时才激活。

　　据Sucuri称，其窃取信息的一种方法是通过动态创建自己的虚假支付表单，模仿Stripe等受信任的支付服务。但是，如果已存在合法的支付表单，该脚本也可以实时捕获用户输入到合法表单字段中的数据。

　　收集到数据后，它会被base64和AES-CBC组合编码，以隐藏其本质，然后再将数据外泄到攻击者的服务器。数据外泄过程通过navitagor.sendBeacon函数完成，该函数允许在不中断用户浏览体验的情况下传输数据，Sucuri研究人员解释道。

　　Sucuri确定了攻击者用来从代码所在的受攻击网站接收数据的两个域名。他们还发现了两个感染了相同代码的WordPress网站。

　　如何检测和防止WordPress数据库注入

　　当恶意软件存在于主题文件或插件中时，WordPress安全扫描程序更容易检测到它，而数据库条目和恶意块小工具可能更难被发现。Sucuri的博客文章解释说，WordPress网站管理员可以通过导航到wp-admin > 外观 > 小工具，并查找包含