Okendo评论插件遭供应链攻击：SmartApeSG如何利用ClickFix感染超18000家电商网站

事件概述

2026年5月14日，Zscaler ThreatLabz在一次例行监测中发现异常活动，最终锁定了针对Okendo评论插件（Okendo Reviews Widget）的供应链攻击。攻击者将恶意JavaScript注入到该插件中，而Okendo是一款被超过18,000家品牌广泛使用的客户评论平台，部署在流量极高的电商店铺页面、产品详情页和评论表单中。这一事件导致数百万网购用户面临感染风险，Zscaler云平台在单日内记录近15,000次与此活动相关的拦截。

恶意JavaScript的技术原理

注入的代码并非直接投放恶意软件，而是一个具有多层逃避和针对性筛选的分阶段加载器：

• localStorage追踪：脚本首次运行时在浏览器localStorage中设置时间戳标记，防止同一用户重复触发，从而降低噪音并避免在例行测试中暴露。
• User-Agent过滤（排除移动端）：脚本检查访问者的User-Agent字符串，忽略移动端浏览器，仅针对桌面环境；后续感染阶段依赖Windows特定操作，因此移动端用户被完全绕过。
• XOR混淆：加载器在运行时通过解码XOR混淆的字符串片段动态重建C2（命令与控制）地址，绕过基于签名的简单检测。

ClickFix社会工程学诱饵

ClickFix是一种社会工程学技术：恶意脚本将命令复制到用户剪贴板，然后显示指令要求用户将其粘贴并执行——通常通过Win + R快捷键打开运行框，粘贴后回车。该命令伪装成验证步骤。在此次攻击中，ClickFix诱饵被嵌入由被入侵插件生成的虚假CAPTCHA页面中。如果用户照做，粘贴的命令会触发PowerShell脚本或HTML应用程序（HTA）文件，进而下载并安装恶意软件。

载荷投递：远程访问木马和信息窃取器

一旦ClickFix诱饵被执行，感染链会投递以下一种或多种载荷：

• NetSupport RAT：远程访问木马，赋予攻击者对受感染设备的持久远程控制权限。
• Remcos RAT：远程访问木马，具备键盘记录、监控和凭证窃取功能。
• StealC：信息窃取器，专门窃取密码和金融凭证。
• Sectop RAT：用于间谍活动的远程访问木马。
• DeerStealer：信息窃取器，在SmartApeSG早期的ClickFix变种中已被发现。

攻击规模

• 超过18,000家电商品牌使用了被入侵的Okendo插件，形成了巨大的下游攻击面。
• 受影响网站涵盖中型网店和大型美国零售品牌，单个网站月访问量估计在15万到数百万之间；一家受影响的美国零售品牌月访问量约700万。
• 仅2026年5月14日一天，Zscaler云平台就录得近15,000次与SmartApeSG活动相关的拦截——这是该组织有史以来最高的单日活跃量。

SmartApeSG的过往恶意行为

SmartApeSG并非新面孔。该组织自2024年中以来便持续开展ClickFix式攻击活动，先后传播NetSupport RAT、Remcos RAT、StealC和Sectop RAT。早期活动利用被入侵网站搭建虚假CAPTCHA页面，诱骗用户通过Windows运行窗口粘贴和执行恶意命令。该组织还在早期ClickFix变种中使用过DeerStealer窃密木马。此次针对Okendo的攻击是一次升级：从逐个感染网站，转变为攻陷一个广泛使用的第三方插件，从而一次性触及数千个网站——典型的供应链放大器攻击模式。

应急响应措施

• Zscaler ThreatLabz于2026年5月14日将事件直接通报给Okendo。
• Okendo确认知悉该事件，并将受影响的插件脚本恢复至纯净状态，有效切断了恶意代码的传播。
• Zscaler以威胁名称**JS.Injection.SmartApeSG**部署检测签名，用于追踪和拦截注入行为。
• 安全研究人员发布的入侵指标（IoC） 包括：受感染插件URL（

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ）以及SmartApeSG的C2基础设施域名，如api[.]wigetticks[.]com和。