Okendo 리뷰 위젯 공급망 공격: SmartApeSG, ClickFix 악성 자바스크립트로 18,000개 이상의 이커머스 사이트 감염

악성 자바스크립트의 기술적 메커니즘

주입된 코드는 여러 회피 및 타겟팅 계층을 갖춘 스테이지드 로더(staged loader) 역할을 했습니다. 악성코드를 즉시 드롭하는 대신, 먼저 환경 검사를 수행하여 탐지를 피하고 적절한 피해자인지 확인했습니다:

• localStorage 추적 — 최초 방문 시 브라우저의 localStorage에 타임스탬프를 저장합니다. 이를 통해 동일 사용자에 대한 반복 실행을 방지하여 노이즈를 줄이고, 일상적인 테스트 중 보안 경고가 트리거될 가능성을 낮췄습니다.
• User-Agent 필터링 (모바일 제외) — 방문자의 User-Agent 문자열을 확인하여 모바일 브라우저는 무시하고 데스크톱 환경만을 대상으로 삼았습니다. 이후 감염 단계는 Windows 특정 상호작용에 의존하므로 모바일 피해자는 완전히 우회되었습니다.
• XOR 난독화 — 로더는 런타임에 XOR 난독화된 문자열 조각을 디코딩하여 다음 단계 C2(명령 및 제어) URL을 동적으로 재구성함으로써 기본적인 시그니처 기반 탐지를 우회했습니다.
• 동적 스크립트 주입 — 숨겨진 C2 URL을 재구성한 후, 코드는 페이지에 새로운 <script> 요소를 주입하여 후속 페이로드를 가져왔습니다.
• 가짜 CAPTCHA / ClickFix 소셜 엔지니어링 — 모든 검사를 통과한 피해자에게는 ClickFix 스타일의 가짜 "사람 인증" 페이지가 표시되었습니다. 이 페이지는 사용자에게 Windows 실행(Run) 대화상자를 열고, 클립보드에 자동으로 복사된 명령어를 붙여넣도록 지시했습니다.

ClickFix 소셜 엔지니어링 미끼

ClickFix은 악성 스크립트가 사용자 클립보드에 명령어를 복사한 다음, 사용자에게 이를 붙여넣고 실행하라는 지침을 표시하는 소셜 엔지니어링 기법입니다. 일반적으로 Win + R을 누르고 붙여넣은 후 Enter를 누르도록 안내합니다. 이 명령어는 인증 단계로 위장되어 있습니다. 이번 공격에서는 변조된 위젯이 생성한 가짜 CAPTCHA 페이지에 ClickFix 미끼가 포함되었습니다. 사용자가 지시를 따르면, 붙여넣은 명령어가 PowerShell 스크립트 또는 HTML 애플리케이션(HTA) 파일을 실행시켜 악성코드를 다운로드 및 설치했습니다.

페이로드 전달: RAT 및 정보 탈취 악성코드

ClickFix 미끼가 실행되면, 감염 체인은 다음 중 하나 이상의 페이로드를 전달했습니다:

• NetSupport RAT — 감염된 기기에 대한 지속적인 원격 제어 권한을 공격자에게 제공하는 원격 접근 트로이목마입니다.
• Remcos RAT — 키로깅, 감시, 자격 증명 도난 기능을 갖춘 원격 접근 트로이목마입니다.
• StealC — 비밀번호 및 금융 자격 증명을 노리는 정보 탈취 악성코드입니다.
• Sectop RAT — 정탐 활동에 사용되는 원격 접근 트로이목마입니다.
• DeerStealer — SmartApeSG의 이전 ClickFix 변종에서 관찰된 정보 탈취 악성코드입니다.

침해 규모

• 변조된 Okendo 위젯을 사용한 18,000개 이상의 이커머스 브랜드가 피해를 입어 대규모 하위 공격 표면이 노출되었습니다.
• 피해 사이트는 중소 규모 온라인 쇼핑몰에서 대형 미국 소매 브랜드까지 다양했으며, 사이트당 월 방문자 수는 150,000명에서 수백만 명에 달하는 것으로 추정됩니다. 피해를 입은 한 미국 소매 브랜드는 월 약 700만 명의 방문자를 기록합니다.
• 2026년 5월 14일 하루 만에, Zscaler의 클라우드 플랫폼은 SmartApeSG 활동과 관련된 거의 15,000건의 차단을 기록했는데, 이는 이 위협 행위자에 대해 기록된 일일 최고 볼륨입니다.

SmartApeSG의 과거 악성코드 이력

SmartApeSG는 새로운 행위자가 아닙니다. 이 그룹은 2024년 중반부터 ClickFix 스타일 캠페인을 실행한 문서화된 이력을 가지고 있으며, 여러 이전 작전에서 NetSupport RAT, Remcos RAT, StealC, Sectop RAT를 유포했습니다. 초기 캠페인은 가짜 CAPTCHA 페이지로 변조된 웹사이트를 사용하여 사용자가 Windows 실행(Run) 대화상자를 통해 악성 명령어를 붙여넣고 실행하도록 속였습니다. 이 그룹은 또한 초기 ClickFix 변종에서 DeerStealer 정보 탈취 악성코드를 배포한 것으로 관찰되었습니다. Okendo 공격은 이러한 활동의 확대를 의미합니다. 즉, 개별 웹사이트를 감염시키는 대신 SmartApeSG는 널리 사용되는 타사 위젯을 손상시켜 한 번에 수천 개의 사이트에 도달하는 전형적인 공급망 증폭기 역할을 한 것입니다.

수행된 대응 조치

• Zscaler ThreatLabz는 2026년 5월 14일 이 사건을 Okendo에 직접 보고했습니다.
• Okendo는 사건을 인지했음을 확인하고 영향을 받은 위젯 스크립트를 깨끗한 상태로 복원하여 악성 코드를 유통에서 효과적으로 제거했습니다.
• Zscaler는 위협 이름 JS.Injection.SmartApeSG 아래 탐지 시그니처를 배포하여 주입 활동을 추적 및 차단하고 있습니다.
• 연구원들이 발표한 침해 지표(IoC) 에는 변조된 위젯 URL(

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) 및 SmartApeSG C2 인프라 도메인(api[.]wigetticks[.]com, api[.]wizzleticks[.]com)이 포함됩니다.