指尖日報 科技情報組
全球數以千計的網站正籠罩在新的供應鏈攻擊陰影下。專精於行銷分析的知名平台AppsFlyer,其Web SDK (軟體開發套件) 近期證實遭到駭客短暫劫持,並被用來散布一種能竊取加密貨幣的惡意JavaScript腳本。這次事件再次凸顯了第三方服務在網站生態系中的潛在風險,任何您我日常瀏覽的網頁,都可能在不知不覺中成為駭客的犯案工具。
根據BleepingComputer的報導,這起攻擊發生在3月9日至11日之間。 駭客成功地將一段經過混淆處理的惡意JavaScript代碼,注入到由AppsFlyer官方網域`websdk.appsflyer.com`所提供的合法SDK腳本中。 由於全球有超過15000家企業、橫跨數萬個應用程式採用此SDK來追蹤用戶互動與行銷成效,此次攻擊的影響範圍相當廣泛。
這段惡意腳本的運作方式極為隱蔽。根據SC Media揭露,它會先確保AppsFlyer原有分析功能的正常運作,以免被網站管理員察覺。 然後,它會在背景悄悄監控使用者在瀏覽器中的所有網路請求,一旦偵測到用戶正在輸入或複製貼上加密貨幣錢包地址,便會瞬間將其替換為駭客控制的地址,藉此劫持交易款項。
Profero公司的資安研究人員最早發現了這個異常行為。他們指出,這種攻擊手法之所以危險,是因為惡意代碼是透過一個受信任的管道 (AppsFlyer的官方伺服器) 所傳遞,導致許多網站的資安防護機制無法第一時間察覺。 根據Greatis Software的分析,受影響的加密貨幣包括比特幣 (Bitcoin)、以太坊 (Ethereum)、Solana、瑞波幣 (Ripple) 與波場幣 (TRON) 等主流幣種。
AppsFlyer官方已證實,此次事件源於其一個網域名稱註冊商 (domain registrar) 的安全問題,導致Web SDK短暫暴露於未經授權的程式碼竄改風險中。 該公司強調,行動應用程式版本的SDK並未受到影響,且目前沒有證據顯示儲存在他們系統中的客戶資料遭到存取。 他們已立即修復漏洞,並持續與外部鑑識專家合作展開調查。
DarknetSearch的分析文章提醒,這類在瀏覽器內部運作的JavaScript攻擊,比傳統的惡意軟體下載更難被防毒軟體偵測。 因為一切行為都發生在合法的網站會話 (session) 中,使用者幾乎無法察覺自己的錢包地址在送出前的一剎那已被掉包。 對於一般用戶而言,這意味著即便是瀏覽經常造訪的正規網站,也可能面临資產被竊的風險。
相關報導:cyware.com、reddit.com
