Ataque a la cadena de suministro del widget Okendo Reviews: cómo SmartApeSG usó ClickFix para infectar más de 18.000 sitios de comercio electrónico

El 14 de mayo de 2026, Zscaler ThreatLabz identificó un ataque a la cadena de suministro en el que el actor de amenazas SmartApeSG (también rastreado como ZPHP y HANEYMANEY) inyectó JavaScript malicioso en el script legítimo del widget de reseñas de Okendo . Okendo es una plataforma de reseñas de clientes utilizada por más de 18.000 marcas en tiendas de comercio electrónico de alto tráfico, páginas de productos y formularios de reseñas en todo el mundo . El compromiso expuso a millones de compradores en línea a malware, y la plataforma en la nube de Zscaler registró cerca de 15.000 bloqueos vinculados a la actividad de SmartApeSG en un solo día . Este artículo desglosa los mecanismos técnicos del ataque, la escala de la brecha, el malware entregado y cómo respondió Okendo.

Mecánica técnica del JavaScript malicioso

El código inyectado actuó como un cargador por etapas con múltiples capas de evasión y focalización . En lugar de soltar malware inmediatamente, primero realizó comprobaciones ambientales para evitar la detección y asegurarse de que la víctima fuera un objetivo adecuado:

• Seguimiento en localStorage: En la primera visita, el script establecía una marca de tiempo en el localStorage del navegador. Esto evitaba la ejecución repetida para el mismo usuario, reduciendo el ruido y disminuyendo la posibilidad de activar alertas de seguridad durante pruebas rutinarias .
• Filtrado por User-Agent (exclusión móvil): El script verificaba la cadena User-Agent del visitante para ignorar los navegadores móviles y apuntar solo a entornos de escritorio. Las etapas posteriores de la infección dependían de interacciones específicas de Windows, por lo que las víctimas móviles eran pasadas por alto por completo .
• Ofuscación XOR: El cargador reconstruía dinámicamente la URL de su servidor de comando y control (C2) de siguiente etapa decodificando fragmentos de cadena ofuscados con XOR en tiempo de ejecución, eludiendo la detección básica basada en firmas .

El señuelo de ingeniería social ClickFix

ClickFix es una técnica de ingeniería social en la que un script malicioso copia un comando al portapapeles del usuario y luego muestra instrucciones pidiéndole que lo pegue y ejecute, generalmente presionando Win + R, pegando y pulsando Enter. El comando se disfraza como un paso de verificación. En este ataque, el señuelo ClickFix se incrustó en una página CAPTCHA falsa generada por el widget comprometido . Si un usuario seguía las instrucciones, el comando pegado activaba un script de PowerShell o un archivo HTML Application (HTA), que luego descargaba e instalaba malware .

Entrega de la carga útil: RATs y robadores de información

Una vez que se ejecutaba el señuelo ClickFix, la cadena de infección entregaba una o más de las siguientes cargas útiles :

• NetSupport RAT: Un troyano de acceso remoto que otorga a los atacantes control remoto persistente sobre la máquina infectada.
• Remcos RAT: Un troyano de acceso remoto con capacidades de keylogging, vigilancia y robo de credenciales.
• StealC: Un robador de información dirigido a contraseñas y credenciales financieras.
• Sectop RAT: Un troyano de acceso remoto utilizado para espionaje.
• DeerStealer: Un robador de información observado en variantes anteriores de ClickFix de SmartApeSG .

Escala de la brecha

• Más de 18.000 marcas de comercio electrónico utilizaban el widget Okendo comprometido, exponiendo una enorme superficie de ataque río abajo .
• Los sitios afectados iban desde tiendas en línea medianas hasta grandes marcas minoristas de EE. UU., con estimaciones de tráfico que alcanzaban entre 150.000 y varios millones de visitantes mensuales por sitio. Una marca minorista estadounidense afectada atrae aproximadamente 7 millones de visitantes al mes .
• Solo el 14 de mayo de 2026, la plataforma en la nube de Zscaler registró cerca de 15.000 bloqueos vinculados a la actividad de SmartApeSG, el volumen diario más alto jamás visto para este actor de amenazas .

Historial de malware previo de SmartApeSG

SmartApeSG no es un actor nuevo. El grupo tiene un historial documentado de ejecución de campañas de estilo ClickFix desde mediados de 2024, entregando NetSupport RAT, Remcos RAT, StealC y Sectop RAT en múltiples operaciones anteriores . Las campañas anteriores utilizaban sitios web comprometidos con páginas CAPTCHA falsas para engañar a los usuarios y hacer que pegaran y ejecutaran comandos maliciosos a través del cuadro de diálogo Ejecutar de Windows . También se ha observado al grupo implementando el robador de información DeerStealer en variantes anteriores de ClickFix . El ataque a Okendo representa una escalada: en lugar de infectar sitios web individuales, SmartApeSG comprometió un widget de terceros ampliamente utilizado para alcanzar miles de sitios a la vez, un clásico amplificador de cadena de suministro .

Medidas de remediación tomadas

• Zscaler ThreatLabz reportó el incidente directamente a Okendo el 14 de mayo de 2026 .
• Okendo confirmó que estaba al tanto del incidente y restauró el script del widget afectado a un estado limpio, eliminando efectivamente el código malicioso de circulación .
• Zscaler implementó firmas de detección bajo el nombre de amenaza JS.Injection.SmartApeSG para rastrear y bloquear la actividad de inyección .
• Los indicadores de compromiso (IoCs) publicados por los investigadores incluyen la URL del widget comprometido (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) y dominios de infraestructura C2 de SmartApeSG como y .