Một cuộc tấn công chuỗi cung ứng (supply chain attack) mới được phát hiện đã đặt hàng nghìn trang web thương mại điện tử vào tình trạng rủi ro. Kẻ tấn công đã âm thầm biến một tiện ích đánh giá sản phẩm của bên thứ ba phổ biến thành công cụ phân phối mã độc.
Chi tiết tấn công SmartApeSG
Các tác nhân đe dọa đứng sau chiến dịch SmartApeSG đã chèn mã JavaScript độc hại vào tiện ích Okendo Reviews. Nền tảng này được tin cậy bởi hơn 18.000 thương hiệu trên toàn thế giới. Mục tiêu là phân phối mã độc đến những khách truy cập không hề hay biết.
Cuộc tấn công diễn ra một cách âm thầm, có nghĩa là khách truy cập các cửa hàng trực tuyến bị ảnh hưởng không hề biết rằng một tập lệnh đang chạy trên trang web đang quét hệ thống của họ và chuẩn bị tải nội dung độc hại.
Tiện ích Okendo Reviews – Điểm nhắm lý tưởng
Tiện ích Okendo thường được nhúng trên các trang có lưu lượng truy cập cao, bao gồm trang chủ cửa hàng, trang sản phẩm và biểu mẫu gửi đánh giá. Điều này biến nó thành một điểm xâm nhập lý tưởng cho kẻ tấn công muốn tiếp cận đối tượng rộng lớn.
Các nhà phân tích từ Zscaler ThreatLabz lần đầu tiên phát hiện hoạt động này vào ngày 14 tháng 5 năm 2026. Họ nhận thấy sự gia tăng bất thường về lưu lượng truy cập liên quan đến tác nhân đe dọa SmartApeSG.
Zscaler cho biết trong một báo cáo được chia sẻ với Cyber Security News (CSN) rằng nhóm của họ đã phát hiện mã độc ẩn bên trong tập lệnh tiện ích hợp pháp. Cuộc tấn công đại diện cho một sự compromise chuỗi cung ứng rõ ràng, có khả năng ảnh hưởng đến bất kỳ trang web nào sử dụng tiện ích này.
SmartApeSG, còn được theo dõi với các tên ZPHP và HANEYMANEY, không phải là một cái tên mới trong bối cảnh mối đe dọa mạng. Nhóm này đã từng liên quan đến các chiến dịch trước đây phân phối các công cụ nguy hiểm bao gồm NetSupport RAT, Remcos RAT, StealC và Sectop RAT.
Đây là các chương trình cho phép kẻ tấn công kiểm soát máy tính của nạn nhân từ xa hoặc đánh cắp dữ liệu nhạy cảm như mật khẩu và thông tin đăng nhập tài chính. Điều này cho thấy sự tinh vi và khả năng gây rủi ro bảo mật cao từ nhóm tấn công này.
Cơ chế hoạt động của mã độc
Sau khi phát hiện, ThreatLabz đã báo cáo sự cố trực tiếp cho Okendo. Công ty xác nhận họ đã nhận thức được vấn đề và nhanh chóng hành động, khôi phục tập lệnh tiện ích về trạng thái sạch, chấm dứt mối đe dọa đang hoạt động.
Tuy nhiên, khoảng thời gian mà tập lệnh độc hại còn hoạt động có thể đủ để phơi nhiễm một số lượng lớn khách truy cập trên nhiều trang web.
Những kẻ tấn công đã lựa chọn mục tiêu một cách khôn ngoan. Bằng cách xâm phạm một tiện ích của bên thứ ba được sử dụng rộng rãi thay vì các trang web riêng lẻ, chúng đã mở rộng phạm vi tiếp cận một cách đáng kể mà không cần phải xâm nhập từng trang một.
Tập lệnh JavaScript đa tầng
Mã JavaScript độc hại hoạt động như một bộ tải phân tầng (staged loader). Điều này có nghĩa là nó không thực thi tất cả các hành động cùng một lúc mà di chuyển từng bước, kiểm tra môi trường trước khi tải thêm nội dung.
Tập lệnh sử dụng cơ chế theo dõi dựa trên trình duyệt thông qua localStorage để ngăn chặn việc thực thi lặp lại trên cùng một thiết bị. Nó cũng kiểm tra chuỗi User-Agent của khách truy cập để lọc người dùng di động và tập trung vào máy tính để bàn, vì các giai đoạn sau của cuộc tấn công dựa vào các tương tác trên nền tảng Windows.
Khi các kiểm tra này được thông qua, tập lệnh sẽ sử dụng một quy trình giải mã dựa trên XOR để âm thầm xây dựng lại một URL ẩn. Sau đó, nó tải URL này dưới dạng một phần tử script mới để truy xuất giai đoạn tiếp theo của mã độc.
Nạn nhân vượt qua các bộ lọc này sẽ thấy một màn hình CAPTCHA hoặc xác minh giả mạo, một kỹ thuật được gọi là ClickFix. Các thông báo này hướng dẫn người dùng mở menu Run của Windows và dán một lệnh đã được sao chép âm thầm vào clipboard của họ.
Lệnh này sau đó sẽ tải xuống một tập lệnh PowerShell hoặc một tệp ứng dụng HTML. Tệp này sẽ cài đặt một công cụ truy cập từ xa (RAT) hoặc một trình đánh cắp thông tin trên máy của nạn nhân, dẫn đến hệ thống bị xâm nhập.
Quy mô và tác động của cuộc tấn công
Quy mô của cuộc tấn công này rất đáng kể. ThreatLabz quan sát thấy tiện ích bị xâm phạm hoạt động trên các trang web từ các cửa hàng trực tuyến cỡ trung bình đến các thương hiệu bán lẻ lớn.
Ước tính lưu lượng truy cập cho các trang web bị ảnh hưởng dao động từ khoảng 150.000 đến vài triệu lượt khách truy cập hàng tháng. Riêng một thương hiệu bán lẻ tại Hoa Kỳ bị ảnh hưởng đã thu hút khoảng 7 triệu lượt truy cập mỗi tháng.
Chỉ riêng vào ngày 14 tháng 5 năm 2026, nền tảng của Zscaler đã ghi nhận gần 15.000 lượt chặn liên quan đến SmartApeSG chỉ trong một ngày, phản ánh mức độ khốc liệt của chiến dịch tại thời điểm cao điểm.
Mặc dù các con số này đại diện cho các nỗ lực bị chặn và không phải là số ca nhiễm được xác nhận, chúng nhấn mạnh tốc độ lây lan nhanh chóng của một cuộc tấn công chuỗi cung ứng khi một nhà cung cấp phổ biến trở thành mục tiêu.
Các chỉ số bất thường (Indicators of Compromise – IoCs)
Các chỉ số sau đây có thể hỗ trợ trong việc phát hiện và ngăn chặn các hoạt động liên quan:
- Mã độc phân phối: JavaScript độc hại được chèn vào tập lệnh của Okendo Reviews.
- Kỹ thuật tải phân tầng: Mã độc sử dụng quy trình giải mã XOR để tải thêm nội dung.
- Khai thác hành vi người dùng: Sử dụng kỹ thuật ClickFix với màn hình xác minh giả mạo.
- Công cụ tải xuống: PowerShell hoặc HTML Application để cài đặt RAT hoặc info-stealer.
Các chủ sở hữu trang web dựa vào tập lệnh của bên thứ ba nên kiểm tra định kỳ các tích hợp của họ và theo dõi chặt chẽ bất kỳ hành vi bất thường nào trên các trang web của họ. Việc cập nhật bản vá và rà soát mã nguồn là rất quan trọng để đảm bảo an toàn thông tin.
Để biết thêm thông tin chi tiết và các báo cáo phân tích sâu hơn, có thể tham khảo các nguồn tin cậy như Zscaler Security Research.
Nguồn tham khảo: Zscaler Blog – SmartApeSG Launches Okendo Reviews Supply Chain Attack
