Okendo रिव्यू विजेट सप्लाई चेन अटैक: SmartApeSG ने ClickFix तकनीक से लाखों उपयोगकर्ताओं को कैसे बनाया निशाना?

14 मई, 2026 को साइबर सुरक्षा शोधकर्ताओं ने एक बड़े सप्लाई चेन अटैक का खुलासा किया, जिसमें SmartApeSG (जिसे ZPHP और HANEYMANEY भी कहा जाता है) नामक हैकर ग्रुप ने लोकप्रिय Okendo रिव्यू विजेट में मैलिशियस JavaScript कोड इंजेक्ट कर दिया । Okendo एक कस्टमर रिव्यू प्लेटफॉर्म है, जिसका उपयोग दुनिया भर में 18,000 से अधिक ब्रांड्स अपने ई-कॉमर्स स्टोरफ्रंट, प्रोडक्ट पेज और रिव्यू फॉर्म पर करते हैं । इस समझौते ने ऑनलाइन शॉपिंग करने वाले लाखों लोगों को मालवेयर के खतरे में डाल दिया। Zscaler के क्लाउड प्लेटफॉर्म ने मात्र एक दिन में SmartApeSG की गतिविधि से जुड़े लगभग 15,000 ब्लॉक्स रिकॉर्ड किए । इस लेख में हम हमले की तकनीकी पद्धति, इसके प्रभाव के पैमाने, डिलीवर किए गए मालवेयर और Okendo द्वारा उठाए गए कदमों का विश्लेषण करेंगे।

मैलिशियस JavaScript की तकनीकी कार्यप्रणाली

इंजेक्ट किया गया कोड एक स्टेज्ड लोडर के रूप में काम करता था, जिसमें पहचान से बचने और लक्ष्य निर्धारण के लिए कई परतें थीं । सीधे मालवेयर ड्रॉप करने के बजाय, यह पहले पर्यावरणीय जांच करता था:

• localStorage ट्रैकिंग - पहली विज़िट पर, स्क्रिप्ट ने ब्राउज़र के localStorage में एक टाइमस्टैम्प मार्कर सेट कर दिया। इससे एक ही उपयोगकर्ता के लिए बार-बार एक्सीक्यूशन को रोका गया, जिससे शोर कम हुआ और नियमित परीक्षण के दौरान सुरक्षा अलर्ट ट्रिगर होने की संभावना कम हो गई ।
• User-Agent फ़िल्टरिंग (मोबाइल को बाहर करना) - स्क्रिप्ट ने विज़िटर के User-Agent स्ट्रिंग की जांच करके मोबाइल ब्राउज़र को नजरअंदाज किया और केवल डेस्कटॉप वातावरण को लक्षित किया। बाद के संक्रमण चरण विंडोज-विशिष्ट इंटरैक्शन पर निर्भर थे, इसलिए मोबाइल उपयोगकर्ताओं को पूरी तरह से बायपास कर दिया गया ।
• XOR ऑबफस्केशन - लोडर ने रनटाइम पर XOR-ऑबफस्केटेड स्ट्रिंग फ़्रैगमेंट्स को डिकोड करके अपने अगले चरण के कमांड-एंड-कंट्रोल (C2) URL को गतिशील रूप से पुनर्निर्मित किया, जिससे बुनियादी सिग्नेचर-आधारित डिटेक्शन को बायपास किया जा सके ।

ClickFix सोशल इंजीनियरिंग लालच

ClickFix एक सोशल इंजीनियरिंग तकनीक है, जिसमें एक मैलिशियस स्क्रिप्ट उपयोगकर्ता के क्लिपबोर्ड पर एक कमांड कॉपी करती है, और फिर उन्हें इसे पेस्ट और रन करने का निर्देश देती है - आमतौर पर Win + R दबाकर, पेस्ट करके और एंटर दबाकर। कमांड को एक सत्यापन चरण के रूप में प्रच्छन्न किया जाता है। इस हमले में, ClickFix लालच को समझौता किए गए विजेट द्वारा उत्पन्न एक फर्जी CAPTCHA पृष्ठ में एम्बेड किया गया था । यदि उपयोगकर्ता निर्देशों का पालन करते थे, तो पेस्ट किया गया कमांड एक PowerShell स्क्रिप्ट या एक HTML एप्लिकेशन (HTA) फ़ाइल को ट्रिगर करता था, जो फिर मालवेयर डाउनलोड और इंस्टॉल करती थी ।

पेलोड डिलीवरी: RAT और इन्फो-स्टीलर

एक बार ClickFix लालच के निष्पादित होने के बाद, संक्रमण श्रृंखला ने निम्नलिखित में से एक या अधिक पेलोड डिलीवर किए :

• NetSupport RAT - एक रिमोट एक्सेस ट्रोजन जो हमलावरों को संक्रमित मशीन पर स्थायी रिमोट कंट्रोल देता है।
• Remcos RAT - एक रिमोट एक्सेस ट्रोजन जिसमें कीलॉगिंग, निगरानी और क्रेडेंशियल चोरी करने की क्षमताएं हैं।
• StealC - एक इन्फॉर्मेशन स्टीलर जो पासवर्ड और वित्तीय क्रेडेंशियल्स को लक्षित करता है।
• Sectop RAT - जासूसी के लिए उपयोग किया जाने वाला एक रिमोट एक्सेस ट्रोजन।
• DeerStealer - एक इन्फो-स्टीलर जो पहले के SmartApeSG ClickFix वेरिएंट्स में देखा गया था ।

हमले का पैमाना

• 18,000 से अधिक ई-कॉमर्स ब्रांड्स ने समझौता किए गए Okendo विजेट का उपयोग किया, जिससे एक विशाल डाउनस्ट्रीम अटैक सतह उजागर हुई ।
• प्रभावित साइटों में मध्यम आकार के ऑनलाइन स्टोर से लेकर बड़े अमेरिकी रिटेल ब्रांड्स तक शामिल थे, जिनमें प्रति साइट 150,000 से लेकर कई मिलियन मासिक विज़िटर तक का ट्रैफ़िक अनुमानित था। एक प्रभावित अमेरिकी रिटेल ब्रांड अकेले लगभग 7 मिलियन विज़िटर प्रति माह आकर्षित करता है ।
• अकेले 14 मई, 2026 को, Zscaler के क्लाउड प्लेटफॉर्म ने SmartApeSG गतिविधि से जुड़े लगभग 15,000 ब्लॉक्स रिकॉर्ड किए - जो इस खतरे के अभिनेता के लिए अब तक का सबसे अधिक दैनिक वॉल्यूम है ।

SmartApeSG का पूर्व मालवेयर इतिहास

SmartApeSG कोई नया अभिनेता नहीं है। इस समूह का मध्य-2024 से ClickFix-शैली के अभियान चलाने का एक दस्तावेजी इतिहास है, जो कई पिछले ऑपरेशनों में NetSupport RAT, Remcos RAT, StealC और Sectop RAT डिलीवर करता रहा है । पहले के अभियानों में उपयोगकर्ताओं को विंडोज रन डायलॉग के माध्यम से दुर्भावनापूर्ण कमांड पेस्ट और निष्पादित करने के लिए धोखा देने के लिए फर्जी CAPTCHA पृष्ठों वाली समझौता वेबसाइटों का उपयोग किया जाता था । समूह को पहले के ClickFix वेरिएंट्स में DeerStealer इन्फो-स्टीलर तैनात करते हुए भी देखा गया है । Okendo हमला एक वृद्धि का प्रतिनिधित्व करता है: व्यक्तिगत वेबसाइटों को संक्रमित करने के बजाय, SmartApeSG ने एक साथ हजारों साइटों तक पहुंचने के लिए एक व्यापक रूप से उपयोग किए जाने वाले तीसरे पक्ष के विजेट से समझौता किया - यह एक क्लासिक सप्लाई चेन एम्पलीफायर है ।

उठाए गए सुधारात्मक कदम

• Zscaler ThreatLabz ने 14 मई, 2026 को इस घटना की सीधे Okendo को सूचना दी ।
• Okendo ने घटना की जानकारी की पुष्टि की और प्रभावित विजेट स्क्रिप्ट को एक साफ स्थिति में बहाल कर दिया, प्रभावी रूप से मैलिशियस कोड को प्रचलन से हटा दिया ।
• Zscaler ने इंजेक्शन गतिविधि को ट्रैक और ब्लॉक करने के लिए खतरे के नाम JS.Injection.SmartApeSG के तहत डिटेक्शन सिग्नेचर तैनात किए ।
• शोधकर्ताओं द्वारा प्रकाशित समझौता संकेतक (IoCs) में समझौता किए गए विजेट URL (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) और SmartApeSG C2 इंफ्रास्ट्रक्चर डोमेन जैसे और शामिल हैं ।