Serangan Rantaian Bekalan Widget Okendo: Bagaimana SmartApeSG Memanfaatkan ClickFix untuk Menjangkiti Lebih 18,000 Tapak E-Dagang

Mekanik Teknikal JavaScript Berniat Jahat

Kod yang disuntik bertindak sebagai pemuat berperingkat dengan pelbagai lapisan pengelakan dan penyasaran . Daripada serta-merta menjatuhkan perisian hasad, ia pertama kali melakukan pemeriksaan persekitaran untuk mengelakkan pengesanan dan memastikan mangsa adalah sasaran yang sesuai:

• Penjejakan localStorage — Pada lawatan pertama, skrip menetapkan penanda masa dalam localStorage penyemak imbas. Ini menghalang pelaksanaan berulang untuk pengguna yang sama, mengurangkan bunyi bising dan menurunkan peluang mencetuskan amaran keselamatan semasa ujian rutin .
• Penapisan User-Agent (pengecualian mudah alih) — Skrip memeriksa rentetan User-Agent pelawat untuk mengabaikan penyemak imbas mudah alih dan menyasarkan hanya persekitaran desktop. Peringkat jangkitan kemudian bergantung pada interaksi khusus Windows, jadi mangsa mudah alih dilangkau sepenuhnya .
• Pengeliruan XOR — Pemuat membina semula URL arahan-dan-kawalan (C2) peringkat seterusnya secara dinamik dengan menyahkod serpihan rentetan yang dikelirukan XOR pada waktu jalan, memintas pengesanan berasaskan tandatangan asas .
• Suntikan skrip dinamik — Selepas membina semula URL C2 yang tersembunyi, kod tersebut menyuntik elemen <script> baru ke dalam halaman untuk mengambil muatan susulan .
• CAPTCHA palsu / kejuruteraan sosial ClickFix — Mangsa yang lulus semua pemeriksaan dibentangkan dengan halaman palsu "sahkan anda manusia" yang digayakan seperti ClickFix. Arahan tersebut meminta pengguna membuka dialog Run Windows dan menampal arahan yang telah disalin secara senyap ke papan klip mereka .

Umpan Kejuruteraan Sosial ClickFix

ClickFix adalah teknik kejuruteraan sosial di mana skrip berniat jahat menyalin arahan ke papan klip pengguna, kemudian memaparkan arahan yang meminta mereka menampal dan menjalankannya — biasanya dengan menekan Win + R, menampal, dan menekan Enter. Arahan tersebut disamarkan sebagai langkah pengesahan. Dalam serangan ini, umpan ClickFix telah tertanam dalam halaman CAPTCHA palsu yang dihasilkan oleh widget yang terjejas . Jika pengguna mengikuti arahan, arahan yang ditampal mencetuskan skrip PowerShell atau fail Aplikasi HTML (HTA), yang kemudian memuat turun dan memasang perisian hasad .

Penghantaran Muatan: RAT dan Pencuri Maklumat

Sebaik sahaja umpan ClickFix dilaksanakan, rantaian jangkitan menghantar satu atau lebih muatan berikut :

• NetSupport RAT — Trojan akses jauh yang memberikan pengawalan jauh berterusan ke atas mesin yang dijangkiti.
• Remcos RAT — Trojan akses jauh dengan keupayaan rakaman kunci, pengawasan, dan kecurian kelayakan.
• StealC — Pencuri maklumat yang menyasarkan kata laluan dan kelayakan kewangan.
• Sectop RAT — Trojan akses jauh yang digunakan untuk pengintipan.
• DeerStealer — Pencuri maklumat yang diperhatikan dalam varian ClickFix SmartApeSG sebelumnya .

Skala Pelanggaran

• Lebih 18,000 jenama e-dagang menggunakan widget Okendo yang terjejas, mendedahkan permukaan serangan hiliran yang besar .
• Tapak yang terjejas terdiri daripada kedai dalam talian bersaiz sederhana hingga jenama runcit AS yang besar, dengan anggaran trafik mencapai 150,000 hingga beberapa juta pelawat bulanan setiap tapak. Satu jenama runcit AS yang terjejas sahaja menarik kira-kira 7 juta pelawat setiap bulan .
• Pada 14 Mei 2026 sahaja, platform awan Zscaler merekodkan hampir 15,000 sekatan yang dikaitkan dengan aktiviti SmartApeSG — jumlah harian tertinggi yang pernah dilihat untuk aktor ancaman ini .

Sejarah Perisian Hasad SmartApeSG Sebelum Ini

SmartApeSG bukan aktor baru. Kumpulan ini mempunyai sejarah yang didokumentasikan dalam menjalankan kempen gaya ClickFix sejak pertengahan 2024, menyampaikan NetSupport RAT, Remcos RAT, StealC, dan Sectop RAT merentas pelbagai operasi sebelumnya . Kempen sebelumnya menggunakan tapak web yang terjejas dengan halaman CAPTCHA palsu untuk menipu pengguna menampal dan melaksanakan arahan berniat jahat melalui dialog Run Windows . Kumpulan ini juga telah diperhatikan menggunakan pencuri maklumat DeerStealer dalam varian ClickFix yang lebih awal . Serangan Okendo mewakili peningkatan: daripada menjangkiti laman web individu, SmartApeSG menjejaskan widget pihak ketiga yang digunakan secara meluas untuk mencapai ribuan tapak sekaligus — penguat rantaian bekalan klasik .

Langkah Pemulihan yang Diambil

• Zscaler ThreatLabz melaporkan kejadian itu terus kepada Okendo pada 14 Mei 2026 .
• Okendo mengesahkan kesedaran mengenai insiden tersebut dan memulihkan skrip widget yang terjejas ke keadaan bersih, dengan berkesan mengeluarkan kod berniat jahat daripada edaran .
• Zscaler menggunakan tandatangan pengesanan di bawah nama ancaman JS.Injection.SmartApeSG untuk mengesan dan menyekat aktiviti suntikan .
• Penunjuk Kompromi (IoC) yang diterbitkan oleh penyelidik termasuk URL widget yang terjejas (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) dan domain infrastruktur C2 SmartApeSG seperti api[.]wigetticks[.]com dan api[.]wizzleticks[.]com .