Okendo評論Widget被駭！SmartApeSG 點樣用 ClickFix 呃人，一次過感染 18,000+ 網站？

SmartApeSG 嘅惡意 JavaScript 點樣運作？

呢段植入嘅程式碼唔係一嚟就放毒，而係一個好狡猾嘅 分階段載入器，內置多重躲避偵測同針對性攻擊嘅機制 ：

1. localStorage 追蹤：第一次訪問嗰陣，腳本會喺瀏覽器嘅 localStorage 記錄一個時間戳。之後同一用戶再嚟就唔會再觸發執行，咁樣可以減少「噪音」，降低被安全系統發現嘅機會 。
2. User-Agent 過濾（唔理手機用戶）：腳本會檢查訪客嘅 User-Agent 字串，如果係手機瀏覽器就跳過，只針對桌面電腦用戶。因為後續嘅感染程序需要 Windows 系統先執行到 。
3. XOR 混淆：載入器會喺執行期間動態解碼 XOR 混淆嘅字串碎片，重組出下一階段嘅 C2 伺服器網址，藉此繞過傳統嘅簽名偵測 。
4. 動態腳本注入：重組好隱藏嘅 C2 網址之後，程式碼會即時插入一個新的 <script> 標籤落個網頁度，去 fetch 下一階段嘅惡意 payload 。
5. 假 CAPTCHA / ClickFix 社交工程：通過晒上面所有檢查嘅用戶，會見到一個假嘅「驗證你不是機械人」頁面，風格抄足 ClickFix。個頁面會指示用戶開 Windows Run 對話框（Win + R），然後貼上已經靜悄悄複製到剪貼簿嘅惡意指令 。

乜嘢係 ClickFix 社交工程？

ClickFix 係一種社交工程技術：惡意腳本先將一條指令複製到用戶嘅剪貼簿，然後顯示指示叫用戶打開 Windows Run 對話框貼上執行。指令通常扮成驗證步驟。用戶一照做，就會觸發 PowerShell 腳本 或者 HTML Application (HTA) 檔案，然後自動下載同安裝惡意軟件 。

中咗招之後會點？Payload 一覽

如果用戶中咗 ClickFix 嘅圈套，感染鏈會下載並安裝以下一種或以上嘅惡意軟件 ：

• NetSupport RAT：遠端存取木馬，俾駭客長期遙控受感染嘅電腦。
• Remcos RAT：遠端存取木馬，有鍵盤記錄、監控同偷取憑證嘅能力。
• StealC：資訊竊取器，專門偷密碼同財務資料。
• Sectop RAT：用於間諜活動嘅遠端存取木馬。
• DeerStealer：SmartApeSG 較早嘅 ClickFix 變種中用過嘅資訊竊取器 。

影響有幾大？

• 超過 18,000 個電商品牌 用咗受感染嘅 Okendo Widget，潛在攻擊面非常巨大 。
• 受影響網站由中型網店到美國大型零售品牌都有，每個網站每月流量由 15 萬到幾百萬 不等。其中一個受影響嘅美國零售品牌，每月就有大約 700 萬訪客 。
• 單喺 2026 年 5 月 14 日，Zscaler 雲端平台就錄得 接近 15,000 次 同 SmartApeSG 相關嘅攔截，係呢個攻擊者歷來最高嘅單日活動量 。

SmartApeSG 嘅「往績」

SmartApeSG 唔係新面孔。呢個集團自 2024 年中開始，就持續用 ClickFix 風格嘅攻擊散佈 NetSupport RAT、Remcos RAT、StealC 同 Sectop RAT 。早期嘅攻擊主要係入侵個別網站，用假 CAPTCHA 頁面呃用戶執行惡意指令 。佢哋仲試過喺較早嘅 ClickFix 變種入面用 DeerStealer 竊密軟件 。今次 Okendo 攻擊係一次重大升級：由入侵個別網站，變成入侵一個被廣泛使用嘅第三方 Widget，一次過影響成千上萬個網站——正正係經典嘅供應鏈放大器 。

事件後續：點樣補救？

• Zscaler ThreatLabz 喺 2026 年 5 月 14 日直接向 Okendo 通報事件 。
• Okendo 確認知悉事件，並已經 將受影響嘅 Widget 腳本還原到乾淨狀態，清除咗惡意程式碼 。
• Zscaler 已經推出偵測簽章，威脅名稱為 JS.Injection.SmartApeSG，用嚟追蹤同攔截相關攻擊 。
• 研究人員公布咗 入侵指標，包括受感染嘅 Widget 網址 (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) 同 SmartApeSG 嘅 C2 伺服器域名，例如 api[.]wigetticks[.]com 同 api[.]wizzleticks[.]com 。