SmartApeSG kapade Okendos recensionswidget – så fungerade attacken

Den 14 maj 2026 identifierade Zscaler ThreatLabz en supply chain-attack där hotaktören SmartApeSG (även känd som ZPHP och HANEYMANEY) injicerade skadlig JavaScript-kod i den legitima Okendo Reviews-widgeten . Okendo är en plattform för kundrecensioner som används av över 18 000 varumärken på högtrafikerade e-handelssidor, produktsidor och recensionsforum över hela världen . Komprometteringen exponerade miljontals e-handelskunder för skadlig kod, och Zscalers molnplattform registrerade nästan 15 000 blockeringar kopplade till SmartApeSG-aktivitet på en enda dag . Den här artikeln går igenom attackens tekniska mekanismer, omfattning, skadlig programvara som spreds och hur Okendo svarade.

Tekniska mekanismer i den skadliga JavaScript-koden

Den injicerade koden fungerade som en stegvis laddare med flera lager av undanflykt och målinriktning . Istället för att omedelbart släppa lös skadlig kod utförde den först miljökontroller för att undvika upptäckt och säkerställa att offret var ett lämpligt mål:

• localStorage-spårning – Vid första besöket satte skriptet en tidsstämpel i webbläsarens localStorage. Detta förhindrade upprepad exekvering för samma användare, vilket minskade brus och minskade risken för att utlösa säkerhetslarm vid rutintester .
• User-Agent-filtrering (mobil exkludering) – Skriptet kontrollerade besökarens User-Agent-sträng för att ignorera mobila webbläsare och endast rikta in sig på stationära datorer. Senare infektionssteg krävde Windows-specifik interaktion, så mobila offer kringgicks helt .
• XOR-obfuskering – Laddaren rekonstruerade dynamiskt sin nästa kommand-och-kontrolladress (C2) genom att avkoda XOR-obfuskerade strängfragment vid körning, vilket kringgick grundläggande signaturbaserad detektion .

ClickFix – det sociala manipuleringstricket

ClickFix är en social manipulationsteknik där ett skadligt skript kopierar ett kommando till användarens urklipp och sedan visar instruktioner som ber dem klistra in och köra det – vanligtvis genom att trycka på Win + R, klistra in och trycka på Retur. Kommandot är maskerat som ett verifieringssteg. I denna attack var ClickFix-lurendrejeriet inbäddat i en fejkad CAPTCHA-sida som genererades av den komprometterade widgeten . Om en användare följde instruktionerna utlöste det inklistrade kommandot ett PowerShell-skript eller en HTML Application-fil (HTA), som sedan laddade ner och installerade skadlig kod .

Nyttolaster: RAT:ar och informationsstöldare

När ClickFix-lurendrejeriet väl hade körts levererade infektionskedjan en eller flera av följande nyttolaster :

• NetSupport RAT – En fjärråtkomsttrojan som ger angripare ihållande fjärrkontroll över den infekterade datorn.
• Remcos RAT – En fjärråtkomsttrojan med funktioner för tangentbordsloggning, övervakning och stöld av inloggningsuppgifter.
• StealC – En informationsstöldare som riktar in sig på lösenord och finansiella referenser.
• Sectop RAT – En fjärråtkomsttrojan som används för spionage.
• DeerStealer – En informationsstöldare som observerats i tidigare SmartApeSG ClickFix-varianter .

Omfattning av intrånget

• Över 18 000 e-handelsvarumärken använde den komprometterade Okendo-widgeten, vilket exponerade en massiv nedströms attackyta .
• Drabbade webbplatser sträckte sig från medelstora nätbutiker till stora amerikanska detaljhandelsmärken, med trafikuppskattningar på 150 000 till flera miljoner månatliga besökare per webbplats. Ett påverkat amerikanskt detaljhandelsmärke ensamt har cirka 7 miljoner besökare per månad .
• Enbart den 14 maj 2026 registrerade Zscalers molnplattform nästan 15 000 blockeringar kopplade till SmartApeSG-aktivitet – den högsta dagliga volymen som någonsin setts för denna hotaktör .

SmartApeSGs tidigare skadliga programvara

SmartApeSG är ingen ny aktör. Gruppen har en dokumenterad historia av att genomföra ClickFix-liknande kampanjer sedan mitten av 2024 och levererar NetSupport RAT, Remcos RAT, StealC och Sectop RAT i flera tidigare operationer . Tidigare kampanjer använde komprometterade webbplatser med fejkade CAPTCHA-sidor för att lura användare att klistra in och köra skadliga kommandon via Windows Kör-dialogrutan . Gruppen har också observerats använda DeerStealer-informationsstöldaren i tidigare ClickFix-varianter . Okendo-attacken är en eskalering: istället för att infektera enskilda webbplatser komprometterade SmartApeSG en allmänt använd tredjepartswidget för att nå tusentals webbplatser samtidigt – en klassisk supply chain-förstärkare .

Åtgärder som vidtagits

• Zscaler ThreatLabz rapporterade incidenten direkt till Okendo den 14 maj 2026 .
• Okendo bekräftade att man var medveten om incidenten och återställde det drabbade widgetskriptet till ett rent tillstånd, vilket effektivt tog bort den skadliga koden från cirkulation .
• Zscaler distribuerade detektionssignaturer under hotnamnet JS.Injection.SmartApeSG för att spåra och blockera injektionsaktiviteten .
• Indikatorer på kompromettering (IoCs) som publicerats av forskare inkluderar den komprometterade widget-URL:en (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) och SmartApeSGs C2-infrastrukturdomäner som och .