Более 269 тыс. сайтов оказались заражены вредоносным JavaScript-кодом JSFireTruck, маскирующим атаки через поисковые системы

Специалисты подразделения Unit 42 компании Palo Alto Networks зафиксировали масштабную вредоносную кампанию, нацеленную на легитимные веб-ресурсы. За период с 26 марта по 25 апреля 2025 года злоумышленникам удалось внедрить вредоносный JavaScript-код более чем на 269 тыс. страниц. По мнению исследователей, активность носит спланированный и массовый характер.

Основу вредоносной инъекции составляет особая техника обфускации, получившая неофициальное название JSFireTruck. Её особенностью является использование стиля программирования JSFuck, при котором код пишется с применением ограниченного набора символов: [, ], +, $, {, }. Это затрудняет как статический, так и поведенческий анализ вредоносного кода. Исследователи Хардик Шах, Брэд Дункан и Прана́й Кумар Чхапарвал отметили, что обфускация успешно скрывает назначение скрипта, делая его незаметным для большинства защитных систем.

Анализ показал, что вредоносный код отслеживает значение document.referrer, проверяя, с какого сайта перешёл пользователь. Если это поисковая система — Google, Bing, DuckDuckGo, Yahoo! или AOL, — жертва автоматически перенаправляется на вредоносные ресурсы. На этих сайтах происходит загрузка дополнительного вредоносного ПО, попытки эксплуатации уязвимостей или монетизация трафика через агрессивную рекламу.

Сильнейший всплеск активности пришёлся на 12 апреля — только за сутки специалисты зафиксировали более 50 тыс. заражённых страниц. По данным телеметрии Unit 42, заражения охватили самые разные категории сайтов, от корпоративных до медийных и развлекательных, что говорит о масштабной автоматизированной атаке.

Эксперты подчёркивают, что использование легитимных платформ в качестве промежуточного звена делает атаку особенно опасной. Пользователи, переходящие с поисковиков, чаще всего доверяют сайту, на который попадают, и не подозревают о подмене. Это создаёт удобный канал доставки вредоносного ПО без использования фишинга или взлома конечного устройства.

Исследователи Unit 42 призывают администраторов сайтов регулярно проверять исходный код на наличие инъекций и отслеживать подозрительные изменения. Масштаб заражения и изощрённость JSFireTruck позволяют говорить о скоординированной операции, направленной на массовое распространение угроз через инфраструктуру доверенных сайтов.