Hackare samlar in betalnings- och lösenordsinformation i Supply Chain Attacks

Arkivfoto av bärbar dator med kod på skärmen
Negativt mellanslag/Pexels

Två senaste attacker i leveranskedjan har tillåtit hackare för att samla in betalningsinformation och användarlösenord för mer än 4 600 webbplatser.

Enligt ZDNet, upptäcktes attackerna i leveranskedjan av Twitter-användaren och Sanguine Securitys rättsmedicinska analytiker Willem de Groot och ansågs fortfarande vara pågående från och med söndagen den 12 maj.

Rekommenderade videor

Attackerna involverade intrång i en analystjänst känd som Picreel och ett projekt med öppen källkod som heter Alpaca Forms. I huvudsak ändrade hackarna som ansvarade för attacken JavaScript-filerna för varje företag för att "bädda in skadlig kod på över 4 600 webbplatser." När den är inbäddad skadlig kod samlade sedan in informationen från webbplatsanvändare (betalningsinformation, inloggningar och kontaktformulärsdata) och skickade sedan informationen som den samlade in till en server i Panama.

Relaterad

  • Hackare stal lösenord från 140 000 betalterminaler med skadlig programvara

Hur den skadliga koden kunde nå tusentals webbplatser så snabbt kan förklaras av vilka typer av företag de attackerade från första början. Till exempel, som ZDNet noterar, är Picreels huvudsakliga tjänst att den låter "webbplatsägare registrera vad användare gör och hur de interagerar med en webbplats för att analysera beteende mönster och öka konversationsfrekvensen." Och för att kunna tillhandahålla den tjänsten måste Picreel-klienter (läs: webbplatsägare) infoga lite JavaScript-kod i sin egen webbplatser. Den skadliga koden spreds genom att ändra den biten av JavaScript-kod.

Alpaca Forms är i grunden ett projekt med öppen källkod som används för att bygga webbformulär. Projektet skapades av Cloud CMS. Hackare kunde sprida sin skadliga kod via Alpaca Forms genom att bryta mot ett nätverk för innehållsleveranstjänster (CDN) som används av Alpaca Forms och hanteras av Cloud CMS. Efter att ha brutit mot detta CDN kunde hackarna sedan ändra ett Alpaca Form-skript för att sprida den skadliga koden. I ett e-postmeddelande till ZDNet sa Cloud CMS tekniska chef Michael Uzquiano att endast en JavaScript-fil för Alpaca Form hade ändrats. Dessutom rapporterar ZDNet också att det drabbade CDN togs ner av Cloud CMS. Innehållshanteringssystemföretaget uppgav också följande: "Det har inte förekommit något säkerhetsbrott eller säkerhetsproblem med Cloud CMS, dess kunder eller dess produkter."

Men, som ZDNet noterar, verkar den slutsatsen inte stödjas av något bevis. Även koden som hittades i Alpaca Forms-attacken har upptäckts på 3 435 sajter. Och den skadliga koden som hittades i Picreel-attacken var enligt uppgift finns på 1 249 webbplatser än så länge.

Det är i nuläget oklart vilka hackarna är. Men det var det rapporterat av de Groot via Twitter måndagen den 13 maj att den skadliga koden äntligen har tagits bort av Picreel och Cloud CMS.

Redaktörens rekommendationer

  • Hackare kan ha stulit huvudnyckeln till en annan lösenordshanterare

Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.