タグ: JavaScriptインジェクション

cyberpress.org

ハッカーがOkendo ReviewsウィジェットにJavaScriptを注入——eコマースサイトを標的とするサプライチェーン攻撃

2026年5月14日、ZscalerのThreatLabzに所属するセキュリティ研究者たちが、Okendo Reviewsウィジェットを標的とした重大なサプライチェーン攻撃を発見しました。 SmartApeSGとして知られる脅威アクターは、この人気のeコマースプラグインへの悪意のあるJavaScriptの注入に成功し

gbhackers.com

SmartApeSGハッカー、Eコマースのサプライチェーン攻撃でOkendo Reviewsウィジェットを悪用

脅威アクター「SmartApeSG」がOkendo Reviewsウィジェットへのサプライチェーン型侵害を利用し、Eコマース分野の広範な環境に段階的なJavaScriptローダーを配信していたことが明らかになりました。 OkendoのクライアントHTMLレビューウィジェットは18,000以上のブランドが導入しており、

helpnetsecurity.com

法執行機関がSocGholishに打撃:106台のサーバーを停止、1万5,000サイトを浄化

偽のソフトウェアアップデートを通じてユーザーにマルウェアを配布してきた「SocGholish」が、大きな打撃を受けました。「オペレーション・エンドゲーム」を推進する国際法執行機関の連合が、同グループが使用していた106台のサーバーおよびドメインを停止させ、悪意あるペイロードを配信するために侵害されてい

techradar.com

Steam コミュニティプロフィールをC2ネットワークに悪用——新たなWordPressマルウェア感染キャンペーンが発覚

Steamコミュニティのコメントにペイロードを隠蔽WordPressサイトをバックドアのホスティングに悪用7月以降、約2,000サイトが侵害されるGoDaddyのセキュリティ研究者が、Steamコミュニティアカウントのコメントをコマンド&コントロール(C2)インフラとして利用する、巧妙な新たなマルウェアキャ

cyberpress.org

SteamコミュニティプロフィールをC2チャネルに悪用——WordPressを標的にしたマルウェアキャンペーン

脅威アクターたちは、悪意ある基盤インフラを隠蔽するために、信頼性の高いプラットフォームを活用するケースが増えています。2025年7月に初めて検出されたキャンペーンでは、攻撃者がSteamコミュニティプロフィールへのコメントをコマンド&コントロール(C2)チャネルとして利用し、WordPressマルウェアを配布している

bleepingcomputer.com

Steamプロフィールにペイロードを隠すWordPressマルウェアキャンペーン

Steam Communityのプロフィールコメントにコマンド&コントロール(C2)データを隠蔽するマルウェアが、約2,000件のWordPressウェブサイトに感染していたことが明らかになりました。 脅威アクターは不可視のUnicode文字を使用してペイロードをエンコードし、悪意あるスクリプトへのURLを構築します

cyberpress.org

新たな「DriveSurge」キャンペーン——ClickFixを悪用したマルウェア配布の手口

DriveSurgeは、正規のウェブサイトを侵害し、トラフィック配信システム(zTDS)を活用して各訪問者に最適な悪意あるコンテンツを配信する、巧妙なウェブベースのキャンペーンです。 攻撃者の目的は、ソーシャルエンジニアリングを駆使したマルウェアの配布です。具体的には、偽のブラウザアップデートページへ誘導する手口(F

bleepingcomputer.com

Funnel Builder WordPressプラグインの脆弱性がクレジットカード窃取に悪用される

Funnel Builderプラグインのwordpressにおける重大な脆弱性が、WooCommerceチェックアウトページに悪意のあるJavaScriptスニペットを注入するために積極的に悪用されています。 この脆弱性は公式識別子を受け取っておらず、認証なしで悪用される可能性があります。3.15.0.3より前のプ