脅威アクター「SmartApeSG」がOkendo Reviewsウィジェットへのサプライチェーン型侵害を利用し、Eコマース分野の広範な環境に段階的なJavaScriptローダーを配信していたことが明らかになりました。
OkendoのクライアントHTMLレビューウィジェットは18,000以上のブランドが導入しており、ホームページ、商品ページ、レビュー投稿画面といった高トラフィックのページに広く配置されています。そのため、汚染されたスクリプトを含むすべてのサイトが注入コードの影響を受ける状況となっていました。
ThreatLabzはこのインシデントをOkendoに報告し、ベンダーは状況を確認した上でウィジェットをクリーンな状態に復元しました。
技術的な分析によると、SmartApeSGが注入したスクリプトは即座に目立つエクスプロイトを実行するのではなく、慎重かつ低ノイズな段階的ローダーとして機能していることが分かっています。
このJavaScriptはまず環境チェックと実行制御チェックを行い、繰り返し実行を抑制しながら、価値の高いターゲットに絞り込む仕組みになっています。
User-Agentフィルタリングにより実行対象はデスクトップ環境に絞られ、多くのモバイルクライアントは明示的に除外されています。これは、デスクトップ操作を前提とする後段のClickFix型ワークフローと整合しています。
localStorageを使ったブラウザ側の状態追跡により、初回実行時にタイムスタンプマーカーが保存され、以降の起動が短絡されます。これにより観測される繰り返しが減り、検出が遅れやすくなっています。
2026年5月14日、ZscalerのThreatLabzチームは、脅威アクター「SmartApeSG」によるマルウェア配信に関連した異常な高活動を検知しました。
環境チェックを通過すると、ローダーは断片化・エンコードされた文字列にXOR方式の難読化解除を適用し、隠された次のステージのURLを再構成します。
SmartApeSGハッカーによるOkendo Reviews悪用
インフラのアドレスは平文では記述されておらず、スクリプトは実行時に複数の16進数フラグメントをデコードし、ランダムなトークン(通常8文字)を組み合わせて取得パスを構築します。
続いて、ローダーは有利な条件下でのみ後続コンテンツを取得するため、新たなスクリプト要素を動的に挿入します。
この段階的な取得モデルは静的検出の有効性を低下させ、多数のサイトに広く展開されているメインのウィジェットペイロードを更新することなく、オペレーターがリモートインフラを変更できる仕組みとなっています。
難読化、段階的な取得、および実行制御は、後続段階のソーシャルエンジニアリングのトリガーによってさらに強化されています。
ThreatLabzは、感染チェーンの後期段階において、偽のCAPTCHAや認証プロンプトを表示し、Windowsの「ファイル名を指定して実行」ダイアログを通じてPowerShellまたはHTAベースのダウンローダーを取得させるよう被害者を誘導する手口を確認しています。
過去のSmartApeSGの活動は、NetSupportやRemcosといったリモートアクセス型トロイの木馬、StealCなどの情報窃取型マルウェア、その他の持続的なツール群の展開に至ることが多く、Zscalerおよびサードパーティの報告やテレメトリーは、これらのマルウェアファミリーとSmartApeSGキャンペーンの関連を示しています。
この侵害の影響範囲は非常に広大です。観測期間中、ThreatLabzはOkendoウィジェットが中規模ショップから大型Eコマースプラットフォームまで幅広いサイトに組み込まれていることを確認しており、影響を受けたサイトの推定月間トラフィックはおよそ150,000件から数百万件に及んでいます。
テレメトリーで観測された影響を受けた米国の小売ブランドの1社は、月間約700万件のアクセスを受けています。トラフィックの推定値は確認済みの感染件数と必ずしも一致するわけではありませんが、悪意あるスクリプトが高トラフィックページの訪問者のブラウザ上で実行されることを踏まえると、これらの配置は広範な被害の高いリスクを示しています。
Zscalerのテレメトリーでは、2026年5月14日に検出数が急増し、1日で約15,000件のブロックが記録されました。
このインシデントは、サードパーティウィジェット侵害の本質的なリスクを浮き彫りにしています。ベンダー1社の侵害が、数千のウェブサイトと数百万のユーザーセッションに実行可能なコンテンツを伝播させる可能性があります。
防御担当者は、外部でホストされているスクリプトの整合性モニタリングを優先し、実現可能な場合はサブリソース整合性(SRI)とコンテンツセキュリティポリシー(CSP)を実装し、段階的ローダー・ランタイム文字列デコード・動的スクリプト注入を検出する動作ベースの検出機能を導入することが推奨されます。
サードパーティウィジェットを運用している組織は、ベンダーに対してセキュアな配信慣行、迅速なロールバック機構、および透明性のあるインシデントコミュニケーションの採用を求めるべきです。
侵害の痕跡(IOC)
| hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js |
| hxxps://api[.]wigetticks[.]com/logout/private-response[.]php?8D1V4th3 (SmartApeSG URL) |
| hxxps://api[.]wizzleticks[.]com/claims/scope-schema[.]php?4ManBBdA (SmartApeSG URL) |
注記: IPアドレスとドメインは、誤って名前解決やハイパーリンクされないよう意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/smartapesg-hackers-abuse-okendo-reviews/
