网络安全研究人员发现一种针对Magento电商网站的恶意软件，利用HTML图片标签隐藏恶意代码，通过onerror事件执行JavaScript，动态插入恶意表单，窃取用户信用卡信息。此类攻击隐蔽且复杂，旨在长期不被发现。

HTML 的 `loading="lazy"` 属性可实现图像懒加载，`onerror` 回调和 ES 模块支持可用于脚本懒加载。通过设置无效 `src` 并在 `onerror` 中导入脚本，可以在事件触发后加载组件，避免控制台错误并替换破损图像。`data-` 属性可用于传递参数。