Okendo Yorum Widget’ı Tedarik Zinciri Saldırısı: SmartApeSG, ClickFix ile 18.000+ E-Ticaret Sitesine Bulaştı

14 Mayıs 2026'da Zscaler ThreatLabz, tehdit aktörü SmartApeSG (aynı zamanda ZPHP ve HANEYMANEY olarak da izleniyor) tarafından popüler müşteri yorum platformu Okendo'nun widget betiğine kötü amaçlı JavaScript enjekte edildiğini tespit etti . Okendo, dünya çapında 18.000'den fazla marka tarafından yüksek trafikli e-ticaret mağazalarında, ürün sayfalarında ve yorum formlarında kullanılan bir platformdur . Bu saldırı, milyonlarca çevrimiçi alışverişçiyi kötü amaçlı yazılımlara maruz bıraktı ve Zscaler'ın bulut platformu, sadece bir günde SmartApeSG faaliyetine bağlı yaklaşık 15.000 engelleme kaydetti . İşte saldırının teknik detayları, etkilediği alan, kullanılan kötü amaçlı yazılımlar ve Okendo'nun tepkisi.

Kötü Amaçlı JavaScript'in Teknik İşleyişi

Enjekte edilen kod, birden fazla gizlenme ve hedefleme katmanına sahip aşamalı bir yükleyici olarak çalıştı . Kötü amaçlı yazılımı hemen düşürmek yerine, tespit edilmeyi önlemek ve kurbanın uygun bir hedef olduğundan emin olmak için önce çevresel kontroller yaptı:

• localStorage takibi: İlk ziyarette script, tarayıcının localStorage'ına bir zaman damgası yerleştirdi. Bu, aynı kullanıcı için betiğin tekrar çalışmasını engelleyerek gürültüyü azalttı ve rutin testler sırasında güvenlik uyarılarını tetikleme olasılığını düşürdü .
• User-Agent filtrelemesi (mobil hariç): Script, ziyaretçinin User-Agent bilgisini kontrol ederek mobil tarayıcıları görmezden geldi ve yalnızca masaüstü ortamlarını hedef aldı. Enfeksiyonun sonraki aşamaları Windows'a özgü etkileşimlere dayandığından, mobil kullanıcılar tamamen atlandı .
• XOR şifreleme: Yükleyici, bir sonraki aşamanın komuta ve kontrol (C2) URL'sini, çalışma zamanında XOR şifreli dize parçalarını çözerek dinamik olarak yeniden oluşturdu ve böylece temel imza tabanlı tespit mekanizmalarını atlattı .

ClickFix Sosyal Mühendislik Tuzağı

ClickFix, kötü niyetli bir betiğin kullanıcının panosuna bir komut kopyaladığı ve ardından kullanıcıdan bu komutu yapıştırıp çalıştırmasını isteyen talimatlar gösterdiği bir sosyal mühendislik tekniğidir. Bu işlem genellikle Win + R tuşlarına basıp, komutu yapıştırarak ve Enter'a basarak yapılır. Komut, bir doğrulama adımı olarak gizlenmiştir. Bu saldırıda, ClickFix tuzağı, ele geçirilen widget tarafından oluşturulan sahte bir CAPTCHA sayfasına gömülmüştü . Kullanıcı talimatları uygularsa, yapıştırılan komut bir PowerShell betiği veya bir HTML Uygulaması (HTA) dosyası çalıştırarak kötü amaçlı yazılımı indirip kurdu .

Bulaşma Zinciri: RAT'ler ve Bilgi Hırsızları

ClickFix tuzağı çalıştırıldığında, enfeksiyon zinciri aşağıdaki yüklerden birini veya birkaçını teslim etti :

• NetSupport RAT: Saldırganlara enfekte makine üzerinde kalıcı uzaktan kontrol sağlayan bir uzaktan erişim truva atı.
• Remcos RAT: Tuş kaydı, gözetleme ve kimlik bilgisi hırsızlığı yeteneklerine sahip bir uzaktan erişim truva atı.
• StealC: Parolaları ve finansal kimlik bilgilerini hedef alan bir bilgi hırsızı.
• Sectop RAT: Casusluk amacıyla kullanılan bir uzaktan erişim truva atı.
• DeerStealer: SmartApeSG'nin daha önceki ClickFix varyantlarında gözlemlenen bir bilgi hırsızı .

Saldırının Boyutu

• Ele geçirilen Okendo widget'ını kullanan 18.000'den fazla e-ticaret markası, devasa bir alt yapı saldırı yüzeyini ortaya çıkardı .
• Etkilenen siteler, orta ölçekli çevrimiçi mağazalardan büyük ABD perakende markalarına kadar uzanıyordu. Site başına trafik tahminleri 150.000 ile birkaç milyon arasında aylık ziyaretçi olarak belirtiliyordu. Etkilenen tek bir ABD perakende markası ayda yaklaşık 7 milyon ziyaretçi çekiyor .
• Sadece 14 Mayıs 2026'da, Zscaler'ın bulut platformu, SmartApeSG faaliyetine bağlı yaklaşık 15.000 engelleme kaydetti. Bu, bu tehdit aktörü için şimdiye kadar görülen en yüksek günlük hacimdir .

SmartApeSG'nin Önceki Kötü Amaçlı Yazılım Geçmişi

SmartApeSG yeni bir aktör değil. Grubun, 2024 ortasından bu yana NetSupport RAT, Remcos RAT, StealC ve Sectop RAT dağıtan ClickFix tarzı kampanyalar yürüttüğü belgelenmiş bir geçmişi var . Daha önceki kampanyalar, kullanıcıları Windows Çalıştır iletişim kutusu aracılığıyla kötü amaçlı komutları yapıştırıp çalıştırmaları için kandırmak amacıyla sahte CAPTCHA sayfaları içeren ele geçirilmiş web sitelerini kullanıyordu . Grubun, daha önceki ClickFix varyantlarında DeerStealer bilgi hırsızını da kullandığı gözlemlenmişti . Okendo saldırısı bir tırmanışı temsil ediyor: SmartApeSG, tek tek web sitelerine bulaşmak yerine, yaygın olarak kullanılan bir üçüncü taraf widget'ını tehlikeye atarak binlerce siteye aynı anda ulaştı. Bu, klasik bir tedarik zinciri amplifikatörüdür .

Alınan Düzeltici Önlemler

• Zscaler ThreatLabz, 14 Mayıs 2026'da olayı doğrudan Okendo'ya bildirdi .
• Okendo, olaydan haberdar olduğunu doğruladı ve etkilenen widget betiğini temiz bir duruma getirerek kötü amaçlı kodu dolaşımdan etkili bir şekilde kaldırdı .
• Zscaler, enjeksiyon faaliyetini izlemek ve engellemek için JS.Injection.SmartApeSG tehdit adı altında tespit imzaları yayınladı .
• Araştırmacılar tarafından yayınlanan Uzlaşma Göstergeleri (IoC'ler) arasında, ele geçirilen widget URL'si (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) ve SmartApeSG'nin ve gibi C2 altyapı alan adları yer almaktadır .