mauriziofonte/ir-2026-04-cartwright

# Cartwright - 一个由 LLM 生成的“中间人购物车”支付劫持工具包 针对**活跃的**、多租户电子商务支付欺诈活动的威胁情报报告及指标。该操作会劫持结账的支付步骤， 并将受害者重定向至**向攻击者进行 SEPA 银行转账**的页面，甚至还配备了**多语种实时在线客服**， 以引导受害者完成付款。针对每个受害者的攻击代码均**由 LLM 生成**（工具包中明确声明；文体计量学和明确的 Cursor 引用指向 Claude/Anthropic）：对于每个目标，模型都会**主动分析特定商店的运作方式，并针对其精确的 DOM 生成最佳渗透策略**。 同一种 AI 闭环模式极有可能也驱动了**初始入侵**（参见 [`analysis/03-entry-point.md`](analysis/03-entry-point.md))。 **详细报告：** [Cartwright - 一个由 LLM 生成的“中间人购物车”支付劫持工具包](https://www.mauriziofonte.it/blog/post/llm-generated-man-in-the-cart-payment-hijack-kit.html) (mauriziofonte.it) - 本代码库的可读配套说明。 - 分析：[`analysis/01-kill-chain.md`](analysis/01-kill-chain.md) - [`analysis/02-attribution.md`](analysis/02-attribution.md) - [`analysis/03-entry-point.md`](analysis/03-entry-point.md) - 指标：[`iocs/`](iocs/) (CSV、域名、URL、SHA-256、攻击者 IP、YARA) - 您是否受到影响：[`detection/how-to-check.md`](detection/how-to-check.md) - 安全加固：[`detection/csp-and-hardening.md`](detection/csp-and-hardening.md) - 消除威胁后的样本：[`samples/`](samples/) ## TL;DR - **不是信用卡嗅探器。** 它会移除商店真实的支付方式，并注入一个 iframe (`malumpay.click/pay/...`)，指示买家通过 **SEPA 转账 / QR 码** 向攻击者付款，金额为**实时的购物车准确总额**。 - **有人值守。** 真人操作员会在 iframe 内与受害者聊天，以消除疑虑 （“QR 码无法扫描”、“我已经付款了，接下来怎么办？”）。 - **产业化。** 共享运行时 `StagerRuntime v4.0.0` + **由 LLM 生成的针对特定受害者的加载器**；支持 **15 种语言**；运行时包含一个 **Klarna** 黑名单。 - **隐蔽性强。** 纯数据注入（不修改任何文件），使用 `MutationObserver` 重新注入， 以及一条自动禁用路径，可针对列入黑名单的 IP 恢复真实的结账流程。 - **3 个域名，同一个操作者**（共享 Cloudflare 账户）：`trustaccept.click`、 `malumpay.click`、`theraw.events`。 ## 运作原理（简述） ``` stored