Okendo Reviews-widget gekraakt: 18.000+ webwinkels getroffen door supply chain-aanval

Technische werking van de kwaadaardige JavaScript-code

De geïnjecteerde code fungeerde als een getrapte loader met meerdere lagen van omzeiling en doelwitbepaling . In plaats van direct malware te droppen, voerde het eerst omgevingscontroles uit om detectie te vermijden en te bepalen of het slachtoffer een geschikt doelwit was:

• localStorage-tracking — Bij het eerste bezoek plaatste het script een tijdstempel in de localStorage van de browser. Dit voorkwam herhaalde uitvoering voor dezelfde gebruiker, waardoor ruis werd verminderd en de kans op het activeren van beveiligingswaarschuwingen bij routinematige tests kleiner werd .
• User-Agent-filtering (mobiele uitsluiting) — Het script controleerde de User-Agent-string van de bezoeker om mobiele browsers te negeren en alleen desktopomgevingen te targeten. Latere infectiestadia waren afhankelijk van Windows-specifieke interacties, dus mobiele slachtoffers werden volledig overgeslagen .
• XOR-versleuteling — De loader reconstrueerde dynamisch de volgende C2-URL (command-and-control) door XOR-versleutelde stringfragmenten tijdens runtime te decoderen, waarmee eenvoudige handtekeningdetectie werd omzeild .
• Dynamische scriptinjectie — Na het reconstrueren van de verborgen C2-URL injecteerde de code een nieuw <script>-element in de pagina om volgende payloads op te halen .
• Nep-CAPTCHA / ClickFix-social engineering — Slachtoffers die alle controles doorstonden, kregen een nep-pagina te zien om 'te bewijzen dat ze mens waren', opgemaakt als ClickFix. De prompt instrueerde gebruikers om het Windows Run-dialoogvenster te openen en een commando te plakken dat stilletjes naar hun klembord was gekopieerd .

De ClickFix-social engineering-lok

ClickFix is een social engineering-techniek waarbij een kwaadaardig script een commando naar het klembord van de gebruiker kopieert en vervolgens instructies geeft om het te plakken en uit te voeren – meestal via Win + R, plakken en Enter. Het commando is vermomd als een verificatiestap. In deze aanval was de ClickFix-lok verwerkt in een nep-CAPTCHA-pagina die werd gegenereerd door de gecompromitteerde widget . Als een gebruiker de instructies volgde, activeerde het geplakte commando een PowerShell-script of een HTML Application (HTA)-bestand, waarna malware werd gedownload en geïnstalleerd .

Payload-levering: RAT's en informatie-stelers

Na uitvoering van de ClickFix-lok leverde de infectieketen een of meer van de volgende payloads :

• NetSupport RAT — Een remote access trojan die aanvallers aanhoudende externe controle over de geïnfecteerde machine geeft.
• Remcos RAT — Een remote access trojan met mogelijkheden voor keylogging, surveillance en diefstal van inloggegevens.
• StealC — Een informatie-steler gericht op wachtwoorden en financiële gegevens.
• Sectop RAT — Een remote access trojan gebruikt voor spionage.
• DeerStealer — Een informatie-steler waargenomen in eerdere ClickFix-varianten van SmartApeSG .

Omvang van de inbreuk

• Meer dan 18.000 e-commerce-merken gebruikten de gecompromitteerde Okendo-widget, wat een enorm aanvalsoppervlak stroomafwaarts creëerde .
• Getroffen sites varieerden van middelgrote webwinkels tot grote Amerikaanse retailmerken, met verkeersschattingen van 150.000 tot enkele miljoenen maandelijkse bezoekers per site. Eén getroffen Amerikaans retailmerk trekt alleen al ongeveer 7 miljoen bezoekers per maand .
• Op 14 mei 2026 alleen registreerde Zscaler's cloudplatform bijna 15.000 blokkades die verband hielden met SmartApeSG-activiteit – de hoogste dagelijkse volume ooit gezien voor deze dreigingsactor .

Eerdere malware-geschiedenis van SmartApeSG

SmartApeSG is geen nieuwe speler. De groep heeft een gedocumenteerde geschiedenis van ClickFix-campagnes sinds medio 2024, waarbij NetSupport RAT, Remcos RAT, StealC en Sectop RAT werden geleverd in meerdere eerdere operaties . Eerdere campagnes gebruikten gecompromitteerde websites met nep-CAPTCHA-pagina's om gebruikers te verleiden kwaadaardige commando's te plakken en uit te voeren via het Windows Run-dialoogvenster . De groep is ook waargenomen bij het implementeren van de DeerStealer-informatie-steler in eerdere ClickFix-varianten . De Okendo-aanval vormt een escalatie: in plaats van individuele websites te infecteren, compromitteerde SmartApeSG een veelgebruikte widget van derden om duizenden sites tegelijk te bereiken – een klassieke supply chain-versterker .

Genomen herstelmaatregelen

• Zscaler ThreatLabz meldde het incident rechtstreeks aan Okendo op 14 mei 2026 .
• Okendo bevestigde op de hoogte te zijn van het incident en herstelde de getroffen widget-script naar een schone staat, waarmee de kwaadaardige code effectief uit roulatie werd genomen .
• Zscaler implementeerde detectiehandtekeningen onder de dreigingsnaam JS.Injection.SmartApeSG om de injectieactiviteit te volgen en te blokkeren .
• Indicators of Compromise (IoCs) gepubliceerd door onderzoekers omvatten de gecompromitteerde widget-URL (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) en SmartApeSG C2-infrastructuurdomeinen zoals api[.]wigetticks[.]com en api[.]wizzleticks[.]com .