En nylig hendelse i leverandørkjeden utsatte besøkende på nettsteder for risikoen for kryptovalutatyveri. AppsFlyer-angrepet med kryptostjeler involverte skadelig JavaScript distribuert gjennom selskapets Web SDK.
AppsFlyer tilbyr markedsanalyseverktøy som brukes av mange nettsteder over hele verden. Web SDK gjør det mulig for selskaper å spore brukeraktivitet og markedsføringsytelse. Siden skriptet lastes direkte i nettleseren, samhandler det med sideelementer og brukerinndata.
Angripere utnyttet denne betrodde komponenten til å injisere skadelig kode. Det kompromitterte skriptet overvåket kryptovalutatransaksjoner og manipulerte lommebokadresser. Hendelsen viser risikoene som kan oppstå fra tredjepartsverktøy som brukes bredt på nettet.
Angrepet brukte et kompromittert Web SDK
Angrepet rettet seg mot AppsFlyers Web SDK som brukes av nettsteder til analyse og hendelsessporing. Angripere injiserte skadelig JavaScript i skriptet som ble levert til nettsteder.
Når en side lastet det kompromitterte SDK-et, ble den skadelige koden kjørt i besøkendes nettleser. Skriptet overvåket inndatafelt og sideaktivitet knyttet til kryptovalutabetalinger.
Siden koden kom fra en betrodd kilde, lastet nettsteder den automatisk. Nettstedseiere trengte ikke å endre sin egen kode for å bli påvirket.
Det skadelige skriptet var aktivt i en begrenset periode før forskere oppdaget problemet. Sikkerhetsteam undersøkte raskt den uvanlige aktiviteten og startet tiltak for å begrense hendelsen.
Skadevare erstattet kryptovaluta-lommebokadresser
Det injiserte skriptet fokuserte på kryptovalutatransaksjoner. Det overvåket lommebokadresser som ble oppgitt under betalingsprosesser.
Når offeret kopierte eller skrev inn en lommebokadresse, erstattet skriptet den med en adresse kontrollert av angriperen. Endringen skjedde stille inne på siden.
Ofre kunne dermed uvitende sende midler til angriperen i stedet for til den tiltenkte mottakeren. Siden blokkjede-transaksjoner er irreversible, er stjålne midler vanskelige å få tilbake.
Nettleserbaserte angrep som dette fungerer uten at skadevare installeres på offerets enhet. Den skadelige koden kjører direkte i nettsidens miljø.
Hendelsen knyttet til kompromittert infrastruktur
Undersøkelser tyder på at det skadelige skriptet dukket opp etter at angripere forstyrret infrastrukturen som brukes til å levere SDK-et. I denne perioden leverte det offisielle skriptet modifisert JavaScript som inneholdt kryptostjeler-koden.
Den skadelige versjonen var aktiv i kort tid før problemet ble oppdaget. Etter at hendelsen ble identifisert, fjernet sikkerhetsteam den kompromitterte koden og gjenopprettet det legitime skriptet.
Siden angrepet brukte betrodd infrastruktur, leverte mange nettsteder den skadelige koden til besøkende uten å vite det.
AppsFlyer reagerer på hendelsen
AppsFlyer bekreftet hendelsen og startet en intern etterforskning. Selskapet opplyste at den skadelige koden ble fjernet kort tid etter at den ble oppdaget.
Selskapet rapporterte at problemet påvirket Web SDK som brukes på nettsteder. Den mobile SDK-en som brukes av apper ble ikke påvirket.
AppsFlyer opplyste også at selskapets interne systemer og kundedatabaser ikke ble kompromittert. Angrepet fokuserte på å levere skadelig kode gjennom skriptet som ble servert til nettsteder.
Selskapet fortsetter å gjennomgå hendelsen og kommunisere med berørte kunder.
Konklusjon
AppsFlyer-hendelsen med kryptostjeler viser risikoene ved supply chain-angrep i moderne webinfrastruktur. Tredjepartsskript kjører ofte med full tilgang til nettsider og brukerinndata.
Når angripere kompromitterer en komponent som brukes bredt, kan påvirkningen spre seg raskt til mange nettsteder. Besøkende kan møte trusler uten å installere noen programvare.
Organisasjoner er i økende grad avhengige av eksterne tjenester og analyseverktøy. Denne avhengigheten skaper nye muligheter for angripere som retter seg mot delt infrastruktur.
Styrket overvåking og bedre sikkerhet i leverandørkjeder vil være avgjørende etter hvert som webplattformer fortsetter å integrere tredjepartstjenester.
0 svar til “AppsFlyer-angrep med kryptostjeler rammer nettsteder som bruker Web SDK”