Ein kürzlich aufgetretener Supply-Chain-Vorfall setzte Besucher von Websites dem Risiko von Kryptowährungsdiebstahl aus. Der AppsFlyer-Krypto-Stealer-Angriff umfasste bösartigen JavaScript-Code, der über das Web-SDK des Unternehmens verbreitet wurde.
AppsFlyer bietet Marketing-Analysetools, die von vielen Websites weltweit genutzt werden. Das Web-SDK ermöglicht es Unternehmen, Nutzeraktivitäten und Marketingleistung zu verfolgen. Da das Skript direkt im Browser geladen wird, interagiert es mit Seitenelementen und Benutzereingaben.
Angreifer nutzten diese vertrauenswürdige Komponente, um bösartigen Code einzuschleusen. Das kompromittierte Skript überwachte Kryptowährungstransaktionen und manipulierte Wallet-Adressen. Der Vorfall zeigt die Risiken weit verbreiteter Drittanbieter-Webtools.
Angriff nutzte kompromittiertes Web-SDK
Der Angriff zielte auf das AppsFlyer-Web-SDK, das von Websites für Analysen und Ereignisverfolgung verwendet wird. Angreifer injizierten bösartigen JavaScript-Code in das Skript, das an Websites ausgeliefert wurde.
Wenn eine Seite das kompromittierte SDK lud, wurde der schädliche Code im Browser des Besuchers ausgeführt. Das Skript überwachte Eingabefelder und Seitenaktivitäten im Zusammenhang mit Kryptowährungszahlungen.
Da der Code aus einer vertrauenswürdigen Quelle stammte, luden Websites ihn automatisch. Website-Betreiber mussten ihren eigenen Code nicht ändern, um betroffen zu sein.
Das schädliche Skript blieb nur für einen begrenzten Zeitraum aktiv, bevor Forscher das Problem entdeckten. Sicherheitsteams untersuchten schnell das ungewöhnliche Verhalten und begannen mit Eindämmungsmaßnahmen.
Malware ersetzte Kryptowährungs-Wallet-Adressen
Das injizierte Skript konzentrierte sich auf Kryptowährungstransaktionen. Es überwachte Wallet-Adressen, die während Zahlungsprozessen eingegeben wurden.
Wenn ein Opfer eine Wallet-Adresse kopierte oder eingab, ersetzte das Skript sie durch eine vom Angreifer kontrollierte Adresse. Die Änderung erfolgte unbemerkt direkt auf der Webseite.
Opfer konnten dadurch unwissentlich Geld an den Angreifer senden, statt an den vorgesehenen Empfänger. Da Blockchain-Transaktionen irreversibel sind, lassen sich gestohlene Gelder nur schwer zurückholen.
Browserbasierte Angriffe wie dieser funktionieren ohne Installation von Malware auf dem Gerät des Opfers. Der schädliche Code läuft direkt innerhalb der Webseitenumgebung.
Vorfall mit kompromittierter Infrastruktur verbunden
Untersuchungen deuten darauf hin, dass das schädliche Skript erschien, nachdem Angreifer die Infrastruktur manipulierten, die zur Bereitstellung des SDK verwendet wird. Während dieses Zeitraums lieferte das offizielle Skript modifizierten JavaScript-Code aus, der den Krypto-Stealer enthielt.
Die schädliche Version blieb nur kurz aktiv, bevor das Problem entdeckt wurde. Nachdem der Vorfall identifiziert wurde, entfernten Sicherheitsteams den kompromittierten Code und stellten das legitime Skript wieder her.
Da der Angriff auf vertrauenswürdige Infrastruktur setzte, lieferten viele Websites den schädlichen Code unwissentlich an ihre Besucher aus.
AppsFlyer reagiert auf den Vorfall
AppsFlyer bestätigte den Vorfall und leitete eine interne Untersuchung ein. Das Unternehmen erklärte, dass der schädliche Code kurz nach der Entdeckung entfernt wurde.
Nach Angaben des Unternehmens betraf das Problem das Web-SDK, das auf Websites verwendet wird. Das mobile SDK für Anwendungen war nicht betroffen.
AppsFlyer erklärte außerdem, dass interne Systeme und Kundendatenbanken nicht kompromittiert wurden. Der Angriff konzentrierte sich darauf, schädlichen Code über das an Websites ausgelieferte Skript zu verbreiten.
Das Unternehmen prüft den Vorfall weiterhin und steht mit betroffenen Kunden in Kontakt.
Fazit
Der AppsFlyer-Krypto-Stealer-Vorfall zeigt die Risiken von Supply-Chain-Angriffen in der modernen Webinfrastruktur. Drittanbieter-Skripte laufen häufig mit vollem Zugriff auf Webseiten und Benutzereingaben.
Wenn Angreifer eine weit verbreitete Komponente kompromittieren, können sich die Auswirkungen schnell auf viele Websites ausbreiten. Besucher können Bedrohungen ausgesetzt sein, ohne Software zu installieren.
Organisationen sind zunehmend auf externe Dienste und Analysewerkzeuge angewiesen. Diese Abhängigkeit schafft neue Möglichkeiten für Angreifer, gemeinsam genutzte Infrastruktur anzugreifen.
Eine stärkere Überwachung und bessere Absicherung von Lieferketten bleiben entscheidend, während Webplattformen weiterhin Drittanbieterdienste integrieren.
0 Kommentare zu „AppsFlyer-Krypto-Stealer-Angriff trifft Websites, die das Web-SDK verwenden“