Из-за взлома маркетинговых инструментов под угрозой оказались тысячи сайтов

Хакеры взломали три маркетинговых сервиса, внедрив в них обфусцированный JavaScript-код.

Специалист Sanguine Security Виллем де Грут сообщил об атаке на цепочку поставок, поставившей под угрозу множество сайтов. Злоумышленники скомпрометировали три маркетинговых сервиса, внедрив в них обфусцированный JavaScript-код. Этот код загружает на сайты инфостилер, похищающий данные пользователей.

Взломан был инструмент для цифрового маркетинга Picreel, плагин Alpaca с открытым исходным кодом и сервис по проверке фирменных знаков Best Of The Web. В результате посетители сайтов, использующих эти инструменты, оказались под угрозой. 

Взломав один проект или поставщика, злоумышленник получает доступ к множеству ресурсов. На один взлом могут уйти недели, но после киберпреступник сможет скомпрометировать тысячи интернет-магазинов.

Чаще всего компании не проверяют, сколько сторонних проектов используется в их приложениях, и не следят за их обновлением, что существенно облегчает работу хакерам.

Грут уведомил о проблеме разработчика плагина Picreel, установленного на 1200 сайтах, и вредоносный код был удален. По словам разработчика плагина Alpaca, инцидент затронул лишь небольшой процент пользователей Cloud CMS, однако скомпрометированный файл все равно был почищен. Разработчики Best Of The Web незамедлительно приняли необходимые меры и предупредили своих пользователей об инциденте.

15 мая, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных