Attacco alla supply chain del widget Okendo Reviews: SmartApeSG ha infettato oltre 18.000 siti e-commerce con JavaScript malevolo e trucchi ClickFix

Il 14 maggio 2026, i ricercatori di Zscaler ThreatLabz hanno scoperto un attacco alla supply chain in cui il gruppo SmartApeSG (noto anche come ZPHP e HANEYMANEY) ha iniettato codice JavaScript malevolo nel widget legittimo delle recensioni di Okendo . Okendo è una piattaforma di recensioni usata da oltre 18.000 brand su pagine prodotto e store di e-commerce ad alto traffico in tutto il mondo . La compromissione ha esposto milioni di acquirenti online a malware, e la piattaforma cloud di Zscaler ha registrato quasi 15.000 blocchi in un solo giorno legati all'attività di SmartApeSG . Questo articolo analizza nel dettaglio il meccanismo tecnico dell'attacco, la portata della violazione, i malware distribuiti e la risposta di Okendo.

Meccanica tecnica del JavaScript malevolo

Il codice iniettato fungeva da loader a più stadi con diversi livelli di evasione e targeting . Invece di rilasciare immediatamente il malware, eseguiva prima una serie di controlli ambientali per evitare il rilevamento e assicurarsi che la vittima fosse un bersaglio valido:

• Tracciamento tramite localStorage: Al primo accesso, lo script impostava un indicatore temporale nel localStorage del browser. Questo impediva l'esecuzione ripetuta per lo stesso utente, riducendo il rumore e abbassando la probabilità di attivare allarmi di sicurezza durante test di routine .
• Filtraggio dello User-Agent (esclusione dei dispositivi mobili): Lo script controllava la stringa User-Agent del visitatore per ignorare i browser mobili e colpire solo gli ambienti desktop, dato che le fasi successive dell'infezione richiedevano interazioni specifiche di Windows .
• Offuscamento XOR: Il loader ricostruiva dinamicamente l'URL del server di comando e controllo (C2) della fase successiva decodificando frammenti di stringhe offuscati con XOR a runtime, bypassando i sistemi di rilevamento basati su firme statiche .

Il trucco di ingegneria sociale ClickFix

ClickFix è una tecnica in cui uno script malevolo copia un comando negli appunti dell'utente e poi mostra istruzioni per incollarlo ed eseguirlo — di solito premendo Win + R, incollando e premendo Invio. Il comando è mascherato da passaggio di verifica. In questo attacco, il trucco ClickFix era incorporato in una falsa pagina CAPTCHA generata dal widget compromesso . Se l'utente seguiva le istruzioni, il comando incollato attivava uno script PowerShell o un file HTA (HTML Application), che a sua volta scaricava e installava il malware .

Distribuzione dei payload: RAT e furto di informazioni

Una volta eseguito il trucco ClickFix, la catena d'infezione distribuiva uno o più dei seguenti malware :

• NetSupport RAT — Un trojan per accesso remoto che garantisce agli attaccanti il controllo persistente della macchina infetta.
• Remcos RAT — Un trojan per accesso remoto con capacità di keylogging, sorveglianza e furto di credenziali.
• StealC — Un info-stealer che ruba password e dati finanziari.
• Sectop RAT — Un trojan per accesso remoto usato per spionaggio.
• DeerStealer — Un info-stealer già osservato in varianti precedenti di ClickFix di SmartApeSG .

La portata della violazione

• Oltre 18.000 brand e-commerce usavano il widget Okendo compromesso, esponendo una superficie d'attacco enorme .
• I siti colpiti spaziavano da negozi online di medie dimensioni a grandi marchi al dettaglio statunitensi, con stime di traffico che andavano da 150.000 a diversi milioni di visitatori mensili per sito. Un singolo marchio statunitense colpito conta circa 7 milioni di visitatori al mese .
• Solo il 14 maggio 2026, la piattaforma cloud di Zscaler ha registrato quasi 15.000 blocchi legati all'attività di SmartApeSG — il volume giornaliero più alto mai osservato per questo gruppo .

La storia del malware di SmartApeSG

SmartApeSG non è un gruppo nuovo. Ha una storia documentata di campagne ClickFix a partire da metà 2024, distribuendo NetSupport RAT, Remcos RAT, StealC e Sectop RAT in numerose operazioni precedenti . Le campagne precedenti usavano siti web compromessi con pagine CAPTCHA false per indurre gli utenti a incollare ed eseguire comandi malevoli tramite la finestra Esegui di Windows . Il gruppo è stato anche osservato mentre distribuiva l'info-stealer DeerStealer in varianti precedenti di ClickFix . L'attacco a Okendo rappresenta un'escalation: invece di infettare singoli siti, SmartApeSG ha compromesso un widget di terze parti ampiamente usato per raggiungere migliaia di siti contemporaneamente—un classico amplificatore di supply chain .

Misure correttive adottate

• Zscaler ThreatLabz ha segnalato l'incidente direttamente a Okendo il 14 maggio 2026 .
• Okendo ha confermato di essere a conoscenza dell'incidente e ha ripristinato lo script del widget a uno stato pulito, rimuovendo di fatto il codice malevolo dalla circolazione .
• Zscaler ha implementato firme di rilevamento con il nome JS.Injection.SmartApeSG per tracciare e bloccare l'attività .
• Indicatori di Compromissione (IoC) pubblicati dai ricercatori includono l'URL del widget compromesso (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) e i domini dell'infrastruttura C2 di SmartApeSG come e .