En nyligen inträffad supply chain-incident utsatte webbplatsbesökare för risken att få sin kryptovaluta stulen. AppsFlyer-attacken med kryptostjälare involverade skadlig JavaScript-kod som distribuerades genom företagets Web SDK.
AppsFlyer tillhandahåller marknadsanalysverktyg som används av många webbplatser världen över. Web SDK gör det möjligt för företag att spåra användaraktivitet och marknadsföringsresultat. Eftersom skriptet laddas direkt i webbläsaren interagerar det med sidans element och användarinmatning.
Angripare utnyttjade denna betrodda komponent för att injicera skadlig kod. Det komprometterade skriptet övervakade kryptovalutatransaktioner och manipulerade plånboksadresser. Händelsen visar riskerna med tredjepartsverktyg som används brett på webben.
Attacken använde ett komprometterat Web SDK
Attacken riktade sig mot AppsFlyers Web SDK som används av webbplatser för analys och händelsespårning. Angripare injicerade skadlig JavaScript i skriptet som levererades till webbplatser.
När en sida laddade det komprometterade SDK:et kördes den skadliga koden i besökarens webbläsare. Skriptet övervakade inmatningsfält och sidaktivitet kopplad till kryptovalutabetalningar.
Eftersom koden kom från en betrodd källa laddade webbplatser den automatiskt. Webbplatsägare behövde inte ändra sin egen kod för att bli drabbade.
Det skadliga skriptet var aktivt under en begränsad period innan forskare upptäckte problemet. Säkerhetsteam undersökte snabbt det ovanliga beteendet och började arbetet med att begränsa incidenten.
Skadlig kod ersatte kryptovalutaplånboksadresser
Det injicerade skriptet fokuserade på kryptovalutatransaktioner. Det övervakade plånboksadresser som angavs under betalningsprocesser.
När ett offer kopierade eller skrev in en plånboksadress ersatte skriptet den med en adress som kontrollerades av angriparen. Ändringen skedde tyst direkt på webbsidan.
Offer kunde därmed ovetande skicka pengar till angriparen i stället för till den avsedda mottagaren. Eftersom blockkedjetransaktioner är irreversibla är stulna medel svåra att återfå.
Webbläsarbaserade attacker som denna kräver ingen installation av skadlig programvara på offrets enhet. Den skadliga koden körs direkt i webbsidans miljö.
Incident kopplad till komprometterad infrastruktur
Utredningar tyder på att det skadliga skriptet dök upp efter att angripare manipulerat infrastrukturen som används för att leverera SDK:et. Under denna period levererade det officiella skriptet modifierad JavaScript som innehöll kryptostjälande kod.
Den skadliga versionen var aktiv under en kort tid innan problemet upptäcktes. När incidenten identifierades tog säkerhetsteam bort den komprometterade koden och återställde det legitima skriptet.
Eftersom attacken använde betrodd infrastruktur serverade många webbplatser den skadliga koden till besökare utan att veta om det.
AppsFlyer svarar på incidenten
AppsFlyer bekräftade incidenten och inledde en intern utredning. Företaget uppgav att den skadliga koden togs bort kort efter att problemet upptäcktes.
Företaget rapporterade att incidenten påverkade Web SDK som används på webbplatser. Det mobila SDK som används av appar påverkades inte.
AppsFlyer uppgav också att företagets interna system och kunddatabaser inte komprometterades. Attacken fokuserade på att leverera skadlig kod genom skriptet som laddades på webbplatser.
Företaget fortsätter att granska händelsen och kommunicerar med berörda kunder.
Slutsats
AppsFlyer-incidenten med kryptostjälare visar riskerna med supply chain-attacker i modern webbinfrastruktur. Tredjepartsskript körs ofta med full åtkomst till webbplatsers innehåll och användarinmatning.
När angripare komprometterar en komponent som används brett kan effekten spridas snabbt till många webbplatser. Besökare kan utsättas för hot utan att installera någon programvara.
Organisationer är allt mer beroende av externa tjänster och analysverktyg. Detta beroende skapar nya möjligheter för angripare att rikta in sig på delad infrastruktur.
Stärkt övervakning och bättre skydd av leveranskedjor kommer att vara avgörande när webbplattformar fortsätter att integrera tredjepartstjänster.
0 svar till ”AppsFlyer-attack med kryptostjälande kod drabbar webbplatser som använder Web SDK”