2026年5月14日、ZscalerのThreatLabzに所属するセキュリティ研究者たちが、Okendo Reviewsウィジェットを標的とした重大なサプライチェーン攻撃を発見しました。
SmartApeSGとして知られる脅威アクターは、この人気のeコマースプラグインへの悪意のあるJavaScriptの注入に成功し、数百万人のオンラインショッパーをマルウェアの脅威にさらす可能性があります。
このウィジェットは18,000以上のブランドが高トラフィックなストアフロントや商品ページで使用しているため、今回の侵害は広範なダウンストリームリスクをもたらしました。Okendoはその後、侵害の事実を認め、ウィジェットをクリーンな状態に復元しています。
この悪意のあるJavaScriptは、検知を巧みに回避するよう設計された高度な段階型ローダーとして機能します。
ペイロードをすぐに実行するのではなく、制御の維持と標的を絞った配信を優先する仕組みになっています。
ローカルストレージを介したブラウザ側の状態追跡を活用し、ユーザーの初回訪問時にタイムスタンプマーカーを設定します。
この巧妙な手法により、同一ユーザーに対してスクリプトが複数回実行されることを防いでいます。実行回数を制限することでノイズを抑え、通常のセキュリティテスト中にアラートが発動するリスクを低下させる効果があります。
さらに、スクリプトは厳格なユーザーエージェントフィルタリングを適用して特定の標的を絞り込みます。ペイロードはモバイルブラウザを意図的に無視し、デスクトップ環境のみに焦点を当てています。
これらの環境チェックを通過すると、ローダーはXORベースのデコードを用いて次段階のインフラ情報を動的に再構築します。
この難読化戦略では、悪意のある宛先URLをエンコードされたフラグメントに分割することで、シグネチャベースの基本的な検知システムを容易に回避できるようにしています。
隠されたURLを再構築した後、スクリプトはウェブページに新たな要素をシームレスに挿入し、後続コンテンツを取得します。
この段階では、サイバー犯罪者の間で急速に広まっているClickFix型のソーシャルエンジニアリング攻撃が展開されます。
被害者には偽のCAPTCHAチャレンジや欺瞞的な本人確認プロンプトが表示されます。Zscalerによると、これらの悪意あるプロンプトはショッパーに対し、特定のコマンドをWindowsの「ファイル名を指定して実行」ダイアログに直接コピー&ペーストするよう指示するものです。
ユーザーがこの罠に引っかかると、感染チェーンはシステムを侵害するための追加ダウンローダーを取得します。
これらのツールは最終的に、NetSupport、RemcosリモートアクセスTrojan、StealC情報窃取ツールといった深刻なマルウェアを展開します。セキュリティチームは以下の侵害指標(IoC)を監視してください。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的に無効化(defang)されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化(re-fang)してください。
翻訳元: https://cyberpress.org/okendo-widget-javascript-attack/