Okendoレビュージェットにサプライチェーン攻撃——脅威アクター「SmartApeSG」がマルウェアを拡散、18,000以上のECサイトに影響

悪質なJavaScriptの技術的メカニズム

注入されたコードは、複数の回避機能と標的化レイヤーを持つステージ型ローダーとして機能しました 。マルウェアを即座にドロップするのではなく、まず環境チェックを実行して検出を回避し、被害者が適切な標的であることを確認しました。

• localStorageによる追跡 — 初回訪問時に、スクリプトはブラウザのlocalStorageにタイムスタンプを保存しました。これにより、同じユーザーに対する繰り返しの実行を防ぎ、ノイズを低減し、定常的なテスト中にセキュリティアラートがトリガーされる可能性を下げました 。
• User-Agentフィルタリング（モバイル除外） — スクリプトは訪問者のUser-Agent文字列をチェックし、モバイルブラウザを無視してデスクトップ環境のみを標的にしました。後の感染段階はWindows固有の操作に依存するため、モバイルユーザーは完全にバイパスされました 。
• XOR難読化 — ローダーは、ランタイム時にXOR難読化された文字列フラグメントをデコードすることで、次の段階のC2（コマンド＆コントロール）URLを動的に再構築し、基本的なシグネチャベースの検出を回避しました 。
• 動的スクリプトインジェクション — 隠されたC2 URLを再構築した後、コードは新たな<script>要素をページに注入し、後続のペイロードを取得しました 。
• 偽のCAPTCHA / ClickFixソーシャルエンジニアリング — すべてのチェックを通過した被害者には、ClickFixを模した偽の「あなたは人間です」認証ページが表示されました。そのプロンプトは、ユーザーにWindowsの**「ファイル名を指定して実行」**ダイアログを開き、クリップボードにコピーされていたコマンドを貼り付けて実行するよう指示しました 。

ClickFixソーシャルエンジニアリングの手口

ClickFixは、悪質なスクリプトがコマンドをユーザーのクリップボードにコピーし、そのコマンドを貼り付けて実行するよう指示するソーシャルエンジニアリング手法です。通常はWin + Rキーを押して実行ダイアログを開き、貼り付けてEnterキーを押します。コマンドは認証ステップとして偽装されています。今回の攻撃では、侵害されたウィジェットによって生成された偽のCAPTCHAページにClickFixの誘導が埋め込まれていました 。ユーザーが指示に従うと、貼り付けたコマンドがPowerShellスクリプトまたはHTMLアプリケーション（HTA）ファイルを起動し、それがマルウェアをダウンロードしてインストールしました 。

ペイロードの配信：RAT（リモートアクセス型トロイの木馬）と情報スティーラー

ClickFixの誘導が実行されると、感染チェーンは以下のペイロードのうち1つまたは複数を配信しました ：

• NetSupport RAT — 攻撃者に感染したマシンへの持続的なリモートコントロールを提供するリモートアクセス型トロイの木馬。
• Remcos RAT — キーロギング、監視、認証情報の窃取機能を持つリモートアクセス型トロイの木馬。
• StealC — パスワードや金融認証情報を標的とする情報スティーラー。
• Sectop RAT — スパイ活動に使用されるリモートアクセス型トロイの木馬。
• DeerStealer — 以前のSmartApeSGのClickFix亜種で観測された情報スティーラー 。

侵害の規模

• 18,000以上のECブランドが侵害されたOkendoウィジェットを使用しており、広大なダウンストリーム攻撃対象領域が露出しました 。
• 影響を受けたサイトは中規模のオンラインショップから大手米国小売ブランドまで多岐にわたり、サイトあたりのトラフィックは15万から数百万の月間訪問者に上ると推定されています。影響を受けた米国小売ブランド1社だけでも、月間約700万人の訪問者を抱えています 。
• 2026年5月14日だけで、ZscalerのクラウドプラットフォームはSmartApeSGの活動に結びつく約15,000件のブロックを記録しました。これは、この脅威アクターにとってこれまでに観測された中で最高の1日あたりのボリュームです 。

SmartApeSGの過去のマルウェア活動

SmartApeSGは新たなアクターではありません。このグループは2024年半ば以降、ClickFixスタイルのキャンペーンを展開してきた確かな実績があり、過去の複数の作戦でNetSupport RAT、Remcos RAT、StealC、Sectop RATを配信していました 。以前のキャンペーンでは、侵害されたWebサイトに偽のCAPTCHAページを設置し、ユーザーを騙してWindowsの「ファイル名を指定して実行」ダイアログを通じて悪質なコマンドを貼り付け、実行させていました 。また、このグループは以前のClickFix亜種でDeerStealer情報スティーラーを展開していることも確認されています 。Okendoへの攻撃はエスカレーションを示しています。個々のWebサイトに感染させる代わりに、SmartApeSGは広く使われているサードパーティウィジェットを侵害することで、一度に何千ものサイトにリーチするという、古典的なサプライチェーン増幅戦術を取ったのです 。

取られた是正措置

• Zscaler ThreatLabzは2026年5月14日にこのインシデントを直接Okendoに報告しました 。
• Okendoはインシデントの認識を確認し、影響を受けたウィジェットスクリプトをクリーンな状態に復元し、悪質なコードの流通を効果的に排除しました 。
• Zscalerは脅威名 JS.Injection.SmartApeSG の下に検出シグネチャを展開し、このインジェクション活動を追跡・ブロックしています 。
• 研究者によって公開された侵入指標（IoC） には、侵害されたウィジェットURL（

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ）や、SmartApeSGのC2インフラドメイン（api[.]wigetticks[.]com、api[.]wizzleticks[.]comなど）が含まれています 。