Tấn công chuỗi cung ứng widget Okendo Reviews: SmartApeSG tiêm mã JavaScript độc hại qua ClickFix

Cơ chế kỹ thuật của mã JavaScript độc hại

Mã được tiêm hoạt động như một trình tải theo giai đoạn (staged loader) với nhiều lớp né tránh và nhắm mục tiêu . Thay vì thả mã độc ngay lập tức, nó đầu tiên thực hiện các kiểm tra môi trường để tránh bị phát hiện và đảm bảo nạn nhân là mục tiêu phù hợp:

• Theo dõi qua localStorage — Khi truy cập lần đầu, tập lệnh đặt một dấu thời gian trong bộ nhớ localStorage của trình duyệt. Điều này ngăn việc thực thi lặp lại cho cùng một người dùng, giảm nhiễu và giảm nguy cơ kích hoạt cảnh báo bảo mật trong quá trình kiểm tra thông thường .
• Lọc theo User-Agent (loại trừ thiết bị di động) — Tập lệnh kiểm tra chuỗi User-Agent của khách truy cập để bỏ qua trình duyệt di động và chỉ nhắm vào môi trường máy tính để bàn. Các giai đoạn lây nhiễm sau này dựa vào các tương tác cụ thể của Windows, vì vậy nạn nhân di động hoàn toàn bị bỏ qua .
• Mã hóa XOR — Trình tải động tái tạo URL máy chủ điều khiển (C2) giai đoạn tiếp theo bằng cách giải mã các đoạn chuỗi đã được mã hóa XOR trong thời gian chạy, vượt qua các phương pháp phát hiện dựa trên chữ ký cơ bản .
• Tiêm tập lệnh động — Sau khi tái tạo URL C2 ẩn, mã sẽ tiêm một phần tử <script> mới vào trang để tải các payload tiếp theo .
• Giả mạo CAPTCHA / ClickFix kỹ thuật xã hội — Nạn nhân vượt qua tất cả các kiểm tra sẽ được hiển thị một trang "xác minh bạn là con người" giả được tạo kiểu theo ClickFix. Lời nhắc hướng dẫn người dùng mở hộp thoại Run của Windows và dán một lệnh đã được sao chép âm thầm vào clipboard của họ .

Thủ đoạn ClickFix kỹ thuật xã hội

ClickFix là một kỹ thuật kỹ thuật xã hội, nơi một tập lệnh độc hại sao chép một lệnh vào clipboard của người dùng, sau đó hiển thị hướng dẫn yêu cầu họ dán và chạy lệnh đó — thường là bằng cách nhấn Win + R, dán và nhấn Enter. Lệnh được ngụy trang như một bước xác minh. Trong cuộc tấn công này, mồi nhử ClickFix được nhúng vào một trang CAPTCHA giả do widget bị xâm phạm tạo ra . Nếu người dùng làm theo hướng dẫn, lệnh đã dán sẽ kích hoạt một tập lệnh PowerShell hoặc một tệp HTML Application (HTA), sau đó tải xuống và cài đặt mã độc .

Phân phối Payload: RAT và Trình đánh cắp thông tin

Sau khi mồi nhử ClickFix được thực thi, chuỗi lây nhiễm sẽ phân phối một hoặc nhiều payload sau :

• NetSupport RAT — Một trojan truy cập từ xa cho phép kẻ tấn công điều khiển từ xa liên tục thiết bị bị nhiễm.
• Remcos RAT — Một trojan truy cập từ xa có khả năng ghi lại thao tác bàn phím, giám sát và đánh cắp thông tin đăng nhập.
• StealC — Một trình đánh cắp thông tin nhắm vào mật khẩu và thông tin tài chính.
• Sectop RAT — Một trojan truy cập từ xa được sử dụng cho mục đích gián điệp.
• DeerStealer — Một trình đánh cắp thông tin đã được quan sát thấy trong các biến thể ClickFix trước đó của SmartApeSG .

Quy mô của vụ vi phạm

• Hơn 18.000 thương hiệu thương mại điện tử đã sử dụng widget Okendo bị xâm phạm, làm lộ ra một bề mặt tấn công hạ nguồn khổng lồ .
• Các trang bị ảnh hưởng bao gồm từ các cửa hàng trực tuyến quy mô vừa đến các thương hiệu bán lẻ lớn của Mỹ, với ước tính lưu lượng truy cập từ 150.000 đến vài triệu lượt truy cập hàng tháng mỗi trang. Một thương hiệu bán lẻ Mỹ bị ảnh hưởng thu hút khoảng 7 triệu lượt truy cập mỗi tháng .
• Chỉ riêng trong ngày 14 tháng 5 năm 2026, nền tảng đám mây của Zscaler đã ghi nhận gần 15.000 lượt chặn liên quan đến hoạt động của SmartApeSG — khối lượng hàng ngày cao nhất từng thấy đối với tác nhân đe dọa này .

Lịch sử phần mềm độc hại trước đây của SmartApeSG

SmartApeSG không phải là một tác nhân mới. Nhóm này có lịch sử được ghi nhận về việc thực hiện các chiến dịch kiểu ClickFix kể từ giữa năm 2024, phân phối NetSupport RAT, Remcos RAT, StealC và Sectop RAT qua nhiều chiến dịch trước đó . Các chiến dịch trước đây đã sử dụng các trang web bị xâm phạm với các trang CAPTCHA giả để lừa người dùng dán và thực thi các lệnh độc hại thông qua hộp thoại Run của Windows . Nhóm này cũng đã được quan sát thấy triển khai trình đánh cắp thông tin DeerStealer trong các biến thể ClickFix trước đó . Cuộc tấn công Okendo đánh dấu một sự leo thang: thay vì lây nhiễm các trang web riêng lẻ, SmartApeSG đã xâm phạm một widget của bên thứ ba được sử dụng rộng rãi để tiếp cận hàng nghìn trang web cùng một lúc — một bộ khuếch đại chuỗi cung ứng cổ điển .

Các bước khắc phục đã thực hiện

• Zscaler ThreatLabz đã báo cáo sự cố trực tiếp cho Okendo vào ngày 14 tháng 5 năm 2026 .
• Okendo xác nhận đã biết về sự cố và khôi phục tập lệnh widget bị ảnh hưởng về trạng thái sạch, loại bỏ hiệu quả mã độc hại khỏi lưu thông .
• Zscaler đã triển khai các chữ ký phát hiện dưới tên mối đe dọa JS.Injection.SmartApeSG để theo dõi và chặn hoạt động tiêm nhiễm .
• Chỉ báo xâm phạm (IoC) được các nhà nghiên cứu công bố bao gồm URL widget bị xâm phạm (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) và các tên miền cơ sở hạ tầng C2 của SmartApeSG như api[.]wigetticks[.]com và api[.]wizzleticks[.]com .