Masivní útok na dodavatelský řetězec: Skupina SmartApeSG zneužila widget Okendo k šíření malwaru na tisíce e-shopů

Dne 14. května 2026 identifikoval bezpečnostní tým Zscaler ThreatLabz útok na dodavatelský řetězec, při kterém threat actor SmartApeSG (známý také jako ZPHP a HANEYMANEY) vložil škodlivý JavaScript do legitimního widgetu pro recenze Okendo . Okendo je platforma pro zákaznické recenze, kterou na svých webech používá více než 18 000 značek po celém světě, a to především na stránkách produktů a formulářích pro hodnocení . Tento kompromitující krok vystavil miliony online nakupujících riziku malwaru. Jen za jediný den zaznamenala cloudová platforma Zscaler téměř 15 000 blokací spojených s aktivitou SmartApeSG . Tento článek podrobně rozebírá technické detaily útoku, jeho rozsah, doručený malware a reakci společnosti Okendo.

Technické detaily škodlivého JavaScriptu

Vložený kód fungoval jako vícestupňový loader s několika vrstvami pro vyhýbání se detekci a cílení na konkrétní uživatele . Místo okamžitého nasazení malwaru nejprve provedl řadu kontrol, aby se vyhnul odhalení a ujistil se, že oběť je vhodným cílem:

• Sledování pomocí localStorage — Při první návštěvě si skript uložil časové razítko do localStorage prohlížeče. Tím zabránil opakovanému spuštění pro stejného uživatele, což snižuje šum a pravděpodobnost spuštění bezpečnostních alarmů při běžném testování .
• Filtrování podle User-Agent (vyloučení mobilů) — Skript zkontroloval řetězec User-Agent návštěvníka, aby ignoroval mobilní prohlížeče a cílil pouze na desktopová prostředí. Pozdější fáze infekce se spoléhaly na interakce specifické pro Windows, takže mobilní oběti byly zcela vynechány .
• XOR obfuskace — Loader dynamicky rekonstruoval URL pro další stupeň komunikace s C2 (command-and-control) serverem tím, že za běhu dekódoval fragmenty řetězců zašifrované pomocí XOR. Tím obešel základní detekci založenou na signaturách .

ClickFix – metoda sociálního inženýrství

ClickFix je technika sociálního inženýrství, při které škodlivý skript zkopíruje příkaz do schránky uživatele a poté zobrazí instrukce, aby jej vložil a spustil – obvykle stisknutím Win + R, vložením a stiskem Enter. Příkaz je maskován jako ověřovací krok. V tomto útoku byla návnada ClickFix vložena do falešné CAPTCHA stránky vygenerované kompromitovaným widgetem . Pokud uživatel instrukce následoval, spuštěný příkaz aktivoval PowerShell skript nebo HTML Application (HTA) soubor, který následně stáhl a nainstaloval malware .

Doručení payloadu: RAT nástroje a informační krádeže

Po spuštění ClickFix návnady infekční řetězec doručil jeden nebo více z následujících payloadů :

• NetSupport RAT — Trojský kůň pro vzdálený přístup, který útočníkům poskytuje trvalé vzdálené ovládání infikovaného počítače.
• Remcos RAT — Trojský kůň pro vzdálený přístup s možnostmi keyloggování, sledování a krádeže přihlašovacích údajů.
• StealC — Informační zloděj zaměřený na hesla a finanční údaje.
• Sectop RAT — Trojský kůň pro vzdálený přístup používaný ke špionáži.
• DeerStealer — Informační zloděj pozorovaný v dřívějších variantách ClickFix od SmartApeSG .

Rozsah útoku

• Kompromitovaný widget Okendo používalo více než 18 000 e-commerce značek, což představuje obrovskou plochu pro útoky na další subjekty .
• Mezi postiženými weby byly jak středně velké online obchody, tak velké americké maloobchodní značky. Odhadovaná návštěvnost se pohybovala od 150 000 do několika milionů měsíčních návštěvníků na web. Jedna zasažená americká maloobchodní značka má přibližně 7 milionů návštěvníků měsíčně .
• Jen za 14. května 2026 zaznamenala cloudová platforma Zscaler téměř 15 000 blokací spojených s aktivitou SmartApeSG – nejvyšší denní objem, jaký byl u tohoto threat actoru kdy zaznamenán .

Historie skupiny SmartApeSG

Skupina SmartApeSG není na scéně nováčkem. Má zdokumentovanou historii vedení ClickFix kampaní od poloviny roku 2024, při kterých distribuovala NetSupport RAT, Remcos RAT, StealC a Sectop RAT v rámci několika předchozích operací . Dřívější kampaně využívaly kompromitované webové stránky s falešnými CAPTCHA stránkami, aby oklamaly uživatele k vložení a spuštění škodlivých příkazů prostřednictvím dialogového okna Spustit ve Windows . Skupina byla také pozorována při nasazování DeerStealer informačního zloděje v dřívějších variantách ClickFix . Útok na Okendo představuje eskalaci: místo infikování jednotlivých webů SmartApeSG kompromitoval široce používaný widget třetí strany, aby dosáhl na tisíce stránek najednou – klasický zesilovač dodavatelského řetězce .

Nápravná opatření

• Tým Zscaler ThreatLabz nahlásil incident přímo společnosti Okendo 14. května 2026 .
• Okendo potvrdilo, že o incidentu ví, a obnovilo postižený widget skript do čistého stavu, čímž efektivně odstranilo škodlivý kód z oběhu .
• Společnost Zscaler nasadila detekční signatury pod názvem JS.Injection.SmartApeSG pro sledování a blokování této injekční aktivity .
• Indikátory kompromitace (IoC) zveřejněné výzkumníky zahrnují URL kompromitovaného widgetu (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) a domény C2 infrastruktury SmartApeSG, jako jsou a .