答案已發布20 個來源
Okendo 評論掛件供應鏈攻擊:SmartApeSG 如何利用 ClickFix 技術感染逾 18,000 個電商網站
2026 年 5 月 14 日,Zscaler ThreatLabz 偵測到 SmartApeSG 威脅行為者在 Okendo 評論掛件中植入惡意 JavaScript,這是一個分階段載入器,利用 localStorage 追蹤、XOR 混淆及虛假 CAPTCHA 等技術。 攻擊波及全球超過 18,000 個使用 Okendo 掛件的電商品牌,影響數百萬線上購物者;Zscaler 雲平台在單日內記錄了近 15,000 次與 SmartApeSG 相關的封鎖事件。
1010
AI 提示詞
openai.comCreate a landscape editorial hero image for this Studio Global article: What was the Okendo Reviews widget supply chain attack in mid-May 2026, including how the SmartApeSG threat actor compromised the widget wit. Article summary: Here is a comprehensive breakdown of the Okendo Reviews widget supply chain attack in mid-May 2026.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as fac
攻擊概述
2026 年 5 月 14 日,Zscaler ThreatLabz 發現一場供應鏈攻擊,鎖定名為 SmartApeSG(亦被追蹤為 ZPHP 和 HANEYMANEY)的威脅行為者,其在合法的 Okendo Reviews 掛件腳本中植入了惡意 JavaScript 。Okendo 是一套顧客評論平台,全球 超過 18,000 個品牌 在高流量的電商商店頁面、產品頁面及評論表單上使用該掛件
。此入侵事件導致數百萬線上購物者暴露於惡意軟體的風險中;Zscaler 的雲端平台在單日內記錄了 近 15,000 次 與 SmartApeSG 活動相關的封鎖事件
。
惡意 JavaScript 的技術機制
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
大家也會問
「Okendo 評論掛件供應鏈攻擊:SmartApeSG 如何利用 ClickFix 技術感染逾 18,000 個電商網站」的簡短答案是什麼?
2026 年 5 月 14 日,Zscaler ThreatLabz 偵測到 SmartApeSG 威脅行為者在 Okendo 評論掛件中植入惡意 JavaScript,這是一個分階段載入器,利用 localStorage 追蹤、XOR 混淆及虛假 CAPTCHA 等技術。
最值得優先驗證的重點是什麼?
2026 年 5 月 14 日,Zscaler ThreatLabz 偵測到 SmartApeSG 威脅行為者在 Okendo 評論掛件中植入惡意 JavaScript,這是一個分階段載入器,利用 localStorage 追蹤、XOR 混淆及虛假 CAPTCHA 等技術。 攻擊波及全球超過 18,000 個使用 Okendo 掛件的電商品牌,影響數百萬線上購物者;Zscaler 雲平台在單日內記錄了近 15,000 次與 SmartApeSG 相關的封鎖事件。
接下來在實務上該怎麼做?
惡意程式碼會在使用者通過環境檢查後顯示虛假的「驗證身分」頁面,誘騙受害者透過 Windows「執行」對話框貼上並執行已複製到剪貼簿的指令,最終下載 NetSupport RAT、Remcos RAT、StealC 等惡意軟體。
來源
- mallory.aiSmartApeSG Injects Malicious Code Into Okendo Reviews Widget
- zscaler.comSmartApeSG Supply Chain Attack Targets Okendo
- radar.offseq.comThe Evolution of ClickFix: From Cleartext to Server Side Polymorphism
- malware-traffic-analysis.net2026-01-22: SmartApeSG uses ClickFix technique to push Remcos ...
- cyware.comPalo Alto Vpn Bug Opens...
- at-bay.com
Loading comments...
Comments
0 comments