СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18 июня
#ИБ

Атака SmartApeSG через Okendo Reviews заразила тысячи магазинов

14 мая 2026 года исследователи зафиксировали атаку, которую связывают с группой SmartApeSG. На этот раз целью стала supply chain attack, направленная на широко используемый виджет Okendo Reviews, интегрированный на множестве интернет-магазинов. Компрометация позволила внедрить вредоносный JavaScript в компонент, который использовался примерно 18 000 брендов, создав риск воздействия на огромное число посетителей.

Что произошло

Затронутые сайты — в основном высоконагруженные платформы электронной коммерции — столкнулись со всплеском вредоносной активности. Это особенно опасно, поскольку подобные виджеты часто размещаются в ключевых разделах сайта: на витринах товаров, страницах продуктов и в других точках с высоким пользовательским трафиком.

Внедренный JavaScript действовал не как обычный скрипт, а как multi-stage loader. Он ограничивал собственное выполнение, проверял заданные условия перед загрузкой дополнительного контента и применял продвинутые методы obfuscation, чтобы скрыть последующие элементы инфраструктуры.

Как работала атака

По данным анализа, скрипт был настроен на избирательное выполнение и в первую очередь ориентировался на desktop-среды. Для этого использовалась фильтрация по User-Agent, а мобильные устройства, как правило, исключались из цепочки заражения.

Такой подход соответствует ранее наблюдавшимся операциям SmartApeSG. В прошлом подобные кампании нередко приводили к развёртыванию:

  • RAT — удалённого доступа, включая NetSupport и Remcos;
  • info-stealer — крадущих информацию программ, включая StealC;
  • социальной инженерии в стиле ClickFix для повышения вероятности успеха атаки.

Возможная цепочка заражения включала показ поддельного CAPTCHA-запроса, инструкции выполнить команды через функцию «Выполнить» в Windows и последующую установку инструментов для удалённого доступа либо эксфильтрации данных.

Почему это опасно

Компрометация такого рода особенно чувствительна из-за масштабов распространения. Под ударом оказались сайты от магазинов среднего размера до крупных e-commerce-платформ с миллионами посетителей. Даже если высокий трафик сам по себе не означает массовое заражение, наличие вредоносного кода в популярном стороннем компоненте создаёт широкую поверхность атаки.

Это наглядный пример рисков, связанных с уязвимостями в цепочке поставок программного обеспечения. Одна точка компрометации в широко используемом third-party component может привести к воздействию на тысячи брендов и потенциально на огромное число конечных пользователей.

Вывод

Инцидент с Okendo Reviews демонстрирует, насколько опасными остаются supply chain attack в экосистеме электронной коммерции. Вредоносный JavaScript, скрытно встроенный в популярный виджет, не только расширил зону риска, но и подтвердил характерный для SmartApeSG подход: многоэтапная загрузка, обфускация, селективное выполнение и последующее развёртывание инструментов для удалённого контроля или кражи данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: