En nylig hændelse i leverandørkæden udsatte besøgende på websites for risikoen for kryptovalutatyveri. AppsFlyer-angrebet med kryptostjæler involverede skadelig JavaScript, der blev distribueret gennem virksomhedens Web SDK.
AppsFlyer leverer marketinganalyseværktøjer, som bruges af mange websites verden over. Web SDK gør det muligt for virksomheder at spore brugeraktivitet og marketingresultater. Da scriptet indlæses direkte i browseren, interagerer det med sideelementer og brugerinput.
Angribere udnyttede denne betroede komponent til at injicere skadelig kode. Det kompromitterede script overvågede kryptovalutatransaktioner og manipulerede walletadresser. Hændelsen viser de risici, der kan opstå ved udbredt brug af tredjeparts webværktøjer.
Angrebet brugte et kompromitteret Web SDK
Angrebet rettede sig mod AppsFlyers Web SDK, som bruges af websites til analyse og hændelsessporing. Angribere injicerede skadelig JavaScript i scriptet, der blev leveret til websites.
Når en side indlæste det kompromitterede SDK, blev den skadelige kode udført i besøgendes browser. Scriptet overvågede inputfelter og sideaktivitet relateret til kryptovalutabetalinger.
Da koden kom fra en betroet kilde, indlæste websites den automatisk. Websiteejere behøvede ikke at ændre deres egen kode for at blive påvirket.
Det skadelige script var aktivt i en begrænset periode, før forskere opdagede problemet. Sikkerhedsteams undersøgte hurtigt den usædvanlige aktivitet og begyndte arbejdet med at begrænse hændelsen.
Malware erstattede kryptovaluta-walletadresser
Det injicerede script fokuserede på kryptovalutatransaktioner. Det overvågede walletadresser, der blev indtastet under betalingsprocesser.
Når offeret kopierede eller indtastede en walletadresse, erstattede scriptet den med en adresse kontrolleret af angriberen. Ændringen skete stille direkte på siden.
Ofre kunne derfor uvidende sende midler til angriberen i stedet for den tilsigtede modtager. Da blockchain-transaktioner er irreversible, er stjålne midler vanskelige at få tilbage.
Browserbaserede angreb som dette fungerer uden installation af malware på offerets enhed. Den skadelige kode kører direkte i websidens miljø.
Hændelsen knyttet til kompromitteret infrastruktur
Undersøgelser tyder på, at det skadelige script dukkede op, efter at angribere havde manipuleret infrastrukturen, der bruges til at levere SDK’et. I denne periode leverede det officielle script modificeret JavaScript, der indeholdt kryptostjælerkoden.
Den skadelige version var aktiv i kort tid, før problemet blev opdaget. Da hændelsen blev identificeret, fjernede sikkerhedsteams den kompromitterede kode og gendannede det legitime script.
Da angrebet udnyttede betroet infrastruktur, serverede mange websites den skadelige kode til besøgende uden at vide det.
AppsFlyer reagerer på hændelsen
AppsFlyer bekræftede hændelsen og indledte en intern undersøgelse. Virksomheden oplyste, at den skadelige kode blev fjernet kort efter opdagelsen.
Virksomheden rapporterede, at problemet påvirkede Web SDK, som bruges på websites. Den mobile SDK, der bruges af apps, blev ikke påvirket.
AppsFlyer oplyste også, at virksomhedens interne systemer og kundedatabaser ikke blev kompromitteret. Angrebet fokuserede på at levere skadelig kode gennem scriptet, der blev indlæst på websites.
Virksomheden fortsætter med at gennemgå hændelsen og kommunikere med berørte kunder.
Konklusion
AppsFlyer-hændelsen med kryptostjæler fremhæver risikoen ved supply chain-angreb i moderne webinfrastruktur. Tredjepartsscripts kører ofte med fuld adgang til websider og brugerinput.
Når angribere kompromitterer en komponent, der bruges bredt, kan konsekvenserne hurtigt sprede sig til mange websites. Besøgende kan blive udsat for trusler uden at installere nogen software.
Organisationer er i stigende grad afhængige af eksterne tjenester og analyseværktøjer. Denne afhængighed skaber nye muligheder for angribere, der målretter sig mod delt infrastruktur.
Styrket overvågning og bedre sikkerhed i leverandørkæder vil være afgørende, efterhånden som webplatforme fortsætter med at integrere tredjepartstjenester.
0 svar til “AppsFlyer-angreb med kryptostjæler rammer websites, der bruger Web SDK”