Attaque par chaîne d’approvisionnement du widget Okendo Reviews : comment SmartApeSG a infecté plus de 18 000 sites e-commerce avec ClickFix

Fonctionnement technique du JavaScript malveillant

Le code injecté agissait comme un chargeur par étapes avec plusieurs couches d'évasion et de ciblage . Au lieu de déposer immédiatement un logiciel malveillant, il effectuait d'abord des vérifications environnementales pour éviter la détection et s'assurer que la victime était une cible appropriée :

• Marquage localStorage — Lors de la première visite, le script plaçait un horodatage dans le localStorage du navigateur. Cela empêchait une exécution répétée pour le même utilisateur, réduisant le bruit et diminuant le risque de déclencher des alertes de sécurité lors de tests de routine .
• Filtrage par User-Agent (exclusion mobile) — Le script vérifiait la chaîne User-Agent du visiteur pour ignorer les navigateurs mobiles et ne cibler que les environnements de bureau. Les étapes ultérieures de l'infection reposaient sur des interactions spécifiques à Windows, les victimes mobiles étaient donc complètement contournées .
• Obfuscation XOR — Le chargeur reconstruisait dynamiquement l'URL de son serveur de commande et de contrôle (C2) de l'étape suivante en décodant des fragments de chaîne obfusqués par XOR au moment de l'exécution, contournant ainsi les détections basées sur des signatures simples .
• Injection dynamique de script — Après avoir reconstruit l'URL C2 cachée, le code injectait un nouvel élément <script> dans la page pour récupérer les charges utiles suivantes .
• Faux CAPTCHA / Ingénierie sociale ClickFix — Les victimes qui passaient toutes les vérifications se voyaient présenter une fausse page « vérifiez que vous êtes humain » stylisée à la manière de ClickFix. L'invite demandait aux utilisateurs d'ouvrir la boîte de dialogue Exécuter de Windows et de coller une commande qui avait été copiée silencieusement dans leur presse-papier .

Le leurre d'ingénierie sociale ClickFix

ClickFix est une technique d'ingénierie sociale où un script malveillant copie une commande dans le presse-papier de l'utilisateur, puis affiche des instructions lui demandant de la coller et de l'exécuter — généralement en appuyant sur Win + R, en collant et en appuyant sur Entrée. La commande est déguisée en étape de vérification. Dans cette attaque, le leurre ClickFix était intégré dans une fausse page CAPTCHA générée par le widget compromis . Si un utilisateur suivait les instructions, la commande collée déclenchait un script PowerShell ou un fichier HTML Application (HTA), qui téléchargeait et installait ensuite le logiciel malveillant .

Livraison des charges utiles : RAT et voleurs d'informations

Une fois le leurre ClickFix exécuté, la chaîne d'infection délivrait une ou plusieurs des charges utiles suivantes :

• NetSupport RAT — Un cheval de Troie d'accès à distance qui donne aux attaquants un contrôle à distance persistant sur la machine infectée.
• Remcos RAT — Un cheval de Troie d'accès à distance avec des capacités d'enregistrement de frappe, de surveillance et de vol d'identifiants.
• StealC — Un voleur d'informations ciblant les mots de passe et les identifiants financiers.
• Sectop RAT — Un cheval de Troie d'accès à distance utilisé pour l'espionnage.
• DeerStealer — Un voleur d'informations observé dans des variantes antérieures de ClickFix par SmartApeSG .

Ampleur de la brèche

• Plus de 18 000 marques e-commerce utilisaient le widget Okendo compromis, exposant une surface d'attaque en aval massive .
• Les sites concernés allaient des boutiques en ligne de taille moyenne aux grandes marques de vente au détail américaines, avec des estimations de trafic allant de 150 000 à plusieurs millions de visiteurs mensuels par site. Une seule marque de vente au détail américaine impactée attire environ 7 millions de visiteurs par mois .
• Le 14 mai 2026 seulement, la plateforme cloud de Zscaler a enregistré près de 15 000 blocages liés à l'activité de SmartApeSG — le volume quotidien le plus élevé jamais observé pour cet acteur malveillant .

Historique des activités malveillantes de SmartApeSG

SmartApeSG n'est pas un nouvel acteur. Le groupe a un historique documenté de campagnes de style ClickFix depuis la mi-2024, délivrant NetSupport RAT, Remcos RAT, StealC et Sectop RAT dans le cadre de multiples opérations antérieures . Les campagnes précédentes utilisaient des sites web compromis avec de fausses pages CAPTCHA pour inciter les utilisateurs à coller et à exécuter des commandes malveillantes via la boîte de dialogue Exécuter de Windows . Le groupe a également été observé en train de déployer le voleur d'informations DeerStealer dans des variantes antérieures de ClickFix . L'attaque contre Okendo représente une escalade : au lieu d'infecter des sites web individuels, SmartApeSG a compromis un widget tiers largement utilisé pour atteindre des milliers de sites à la fois — un amplificateur classique de chaîne d'approvisionnement .

Mesures de correction prises

• Zscaler ThreatLabz a signalé l'incident directement à Okendo le 14 mai 2026 .
• Okendo a confirmé avoir été informé de l'incident et a restauré le script du widget affecté dans un état sain, supprimant ainsi le code malveillant de la circulation .
• Zscaler a déployé des signatures de détection sous le nom de menace JS.Injection.SmartApeSG pour suivre et bloquer l'activité d'injection .
• Les indicateurs de compromission (IoCs) publiés par les chercheurs incluent l'URL du widget compromis (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) et les domaines de l'infrastructure C2 de SmartApeSG tels que api[.]wigetticks[.]com et api[.]wizzleticks[.]com .