Widget Ulasan Okendo Dibajak: SmartApeSG Injeksi JavaScript Jahat untuk Serang 18.000+ Situs E-Commerce

Mekanisme Teknis JavaScript Berbahaya

Kode yang disusupi bertindak sebagai staged loader dengan beberapa lapisan penghindaran dan penargetan . Alih-alih langsung menjatuhkan malware, kode ini terlebih dahulu melakukan pemeriksaan lingkungan untuk menghindari deteksi dan memastikan korban adalah target yang cocok:

• Pelacakan localStorage — Pada kunjungan pertama, skrip menetapkan penanda stempel waktu di localStorage browser. Ini mencegah eksekusi berulang untuk pengguna yang sama, mengurangi kebisingan, dan menurunkan kemungkinan memicu peringatan keamanan selama pengujian rutin .
• Penyaringan User-Agent (pengecualian seluler) — Skrip memeriksa string User-Agent pengunjung untuk mengabaikan browser seluler dan hanya menargetkan lingkungan desktop. Tahap infeksi selanjutnya bergantung pada interaksi khusus Windows, sehingga korban seluler dilewati sepenuhnya .
• Obfuskasi XOR — Loader secara dinamis merekonstruksi URL command-and-control (C2) tahap selanjutnya dengan mendekode fragmen string yang di-obfuskasi XOR saat runtime, melewati deteksi berbasis tanda tangan dasar .
• Injeksi skrip dinamis — Setelah membangun kembali URL C2 yang tersembunyi, kode menyuntikkan elemen <script> baru ke halaman untuk mengambil muatan lanjutan .
• CAPTCHA palsu / Rekayasa sosial ClickFix — Korban yang lolos semua pemeriksaan disajikan dengan halaman "verifikasi Anda manusia" palsu yang digayakan seperti ClickFix. Prompt tersebut menginstruksikan pengguna untuk membuka dialog Windows Run dan menempelkan perintah yang telah disalin secara diam-diam ke clipboard mereka .

Umpan Rekayasa Sosial ClickFix

ClickFix adalah teknik rekayasa sosial di mana skrip berbahaya menyalin perintah ke clipboard pengguna, lalu menampilkan instruksi yang meminta mereka untuk menempelkan dan menjalankannya — biasanya dengan menekan Win + R, menempel, dan menekan Enter. Perintah tersebut disamarkan sebagai langkah verifikasi. Dalam serangan ini, umpan ClickFix disematkan ke dalam halaman CAPTCHA palsu yang dihasilkan oleh widget yang disusupi . Jika pengguna mengikuti instruksi, perintah yang ditempelkan memicu skrip PowerShell atau file HTML Application (HTA), yang kemudian mengunduh dan menginstal malware .

Pengiriman Muatan: RAT dan Info-Stealer

Setelah umpan ClickFix dijalankan, rantai infeksi mengirimkan satu atau lebih muatan berikut :

• NetSupport RAT — Trojan akses jarak jauh yang memberikan kontrol jarak jauh persisten kepada penyerang atas mesin yang terinfeksi.
• Remcos RAT — Trojan akses jarak jauh dengan kemampuan keylogging, pengawasan, dan pencurian kredensial.
• StealC — Pencuri informasi yang menargetkan kata sandi dan kredensial keuangan.
• Sectop RAT — Trojan akses jarak jauh yang digunakan untuk spionase.
• DeerStealer — Info-stealer yang diamati dalam varian ClickFix SmartApeSG sebelumnya .

Skala Pelanggaran

• Lebih dari 18.000 merek e-commerce menggunakan widget Okendo yang disusupi, memperlihatkan permukaan serangan downstream yang sangat besar .
• Situs yang terkena dampak berkisar dari toko online menengah hingga merek ritel besar AS, dengan perkiraan lalu lintas mencapai 150.000 hingga beberapa juta pengunjung bulanan per situs. Satu merek ritel AS yang terkena dampak saja menarik sekitar 7 juta pengunjung per bulan .
• Pada 14 Mei 2026 saja, platform cloud Zscaler mencatat hampir 15.000 blokir terkait aktivitas SmartApeSG — volume harian tertinggi yang pernah terlihat untuk aktor ancaman ini .

Riwayat Malware SmartApeSG Sebelumnya

SmartApeSG bukanlah aktor baru. Kelompok ini memiliki sejarah terdokumentasi dalam menjalankan kampanye gaya ClickFix sejak pertengahan 2024, mengirimkan NetSupport RAT, Remcos RAT, StealC, dan Sectop RAT di beberapa operasi sebelumnya . Kampanye sebelumnya menggunakan situs web yang disusupi dengan halaman CAPTCHA palsu untuk mengelabui pengguna agar menempelkan dan menjalankan perintah berbahaya melalui dialog Windows Run . Kelompok ini juga terlihat menggunakan DeerStealer info-stealer dalam varian ClickFix sebelumnya . Serangan Okendo merupakan eskalasi: alih-alih menginfeksi situs web individu, SmartApeSG menyusupi widget pihak ketiga yang banyak digunakan untuk menjangkau ribuan situs sekaligus — penguat rantai pasokan klasik .

Langkah Pemulihan yang Dilakukan

• Zscaler ThreatLabz melaporkan insiden tersebut langsung ke Okendo pada 14 Mei 2026 .
• Okendo mengonfirmasi pengetahuan tentang insiden tersebut dan mengembalikan skrip widget yang terpengaruh ke kondisi bersih, secara efektif menghapus kode berbahaya dari peredaran .
• Zscaler menerapkan tanda tangan deteksi dengan nama ancaman JS.Injection.SmartApeSG untuk melacak dan memblokir aktivitas injeksi .
• Indikator Kompromi (IoC) yang dipublikasikan oleh peneliti termasuk URL widget yang disusupi (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) dan domain infrastruktur C2 SmartApeSG seperti api[.]wigetticks[.]com dan api[.]wizzleticks[.]com .