هکرها با نفوذ به ۴۶۰۰ وبسایت، اطلاعات شخصی و مالی کاربران را سرقت میکنند
یکی از گروههای هکری با نفوذ به ابزارهای Alpaca Forms و Picreel کدهای مخرب خود را در وبسایتها تزریق کرده تا اطلاعات کاربران را سرقت کند.
هکرها با نفوذ به سرویس تحلیلی Picreel و پروژهی متنباز Alpaca Forms توانستند فایلهای جاوااسکریپت مخرب را در زیرساخت این شرکتها وارد کنند که درنهایت، به دزدیدن اطلاعات شخصی و مالی کاربران از ۴۶۰۰ وبسایت منجر شد. حملهی مذکور همچنان ادامه دارد و اسکریپتها بهصورت زنده هنوز درحالدریافت اطلاعات کاربران هستند. ویلم دِگروت، بنیانگذار گروه امنیتی Sanguine Security، حملهی هکرها را شناسایی و آن را به رسانهها اعلام کرد. پسازآن، محققان امنیتی متعددی ادعای او را تأیید کردند.
Picreel ابزاری تحلیلی برای وبسایتها است که به صاحبان آنها امکان میدهد رفتار کاربران را در وبسایت بررسی و تحلیل کنند و تصمیمگیریهای لازم را براساس رفتارهای آنها انجام دهند. مشتریان این سرویس باید یک کد جاوااسکریپت را در داخل وبسایت خود وارد کنند تا ابزار بتواند تحلیلهای مدنظر را انجام دهد. همین اسکریپت موردنفوذ هکرها قرار گرفت و پس از تغییرات آنان، اطلاعات کاربران را جمعآوری میکند.
سرویس دیگر، یعنی آلپاکا، پروژهای متنباز است که برای ساختن فرمهای تحتوب استفاده میشود. این پروژه را ابتدا کلاود سیاماس (Cloud CMS) ارائه و هشت سال پیش متنباز کرد. کلاود سیاماس هنوز سرویس رایگان CDN برای پروژه ارائه میدهد. هکرها احتمالا به CDN مدنظر نفوذ کرده و کدهای آلپاکا را تغییر دادهاند. وبسایت ZDNet برای روشنترشدن ماجرا به مدیران هر دو شرکت پیام ارسال کرد و تنها مدیرفنی کلاود سیاماس پاسخ داد. او ادعا میکند تنها یکی از فایلهای جاوااسکریپت موجود در CDN دستکاری شده است.
هنوز روش نفوذ هکرها به این ابزارها مشخص نشده است. البته، دِگروت در گفتوگویی توییتری با رسانهها اعلام کرد هر دو حمله احتمالا با یک روش انجام شدهاند. کد مخرب حملهها همهی اطلاعات واردشدهی کاربران در فرمهای وبسایتها را ذخیره میکند. سپس، اطلاعات به سِروری در پاناما ارسال میشود. این اطلاعات شامل اطلاعاتی میشود که کاربران در صفحات خرید و فرمهای تماس و بخشهای ورود به حسای کاربری وارد میکنند.
کدهای مخرب واردشده در اسکریپت Picreel در ۱,۲۴۹ وبسایت دیده شدهاند. بهعلاوه، نفوذ به آلپاکا نیز ۳,۴۳۵ دامنه را تحتتأثیر قرار داد. کلاود سیاماس در این حمله، سرویس سیدیان مخصوص آلپاکا را بهصورت موقف از کار انداخت. شرکت درحالحاضر، رخدادهای پیشآمده را بررسی میکند تا از هرگونه نفوذ بیشتر جلوگیری شود. البته، آنها ادعا میکنند نفوذ امنیتی به سرویس اصلی کلاود سیاماس و مشتریان آن انجام نشده و مدرکی برای تأیید ادعاها وجود ندارد؛ اما اگر مشتریان کدهای آلپاکا را روی سِرورهای خود اجرا کرده باشند، احتمال نفوذ کمتر میشود.
در دو سال گذشته، هکهایی گسترش یافتهاند که وارد زنجیرهی تأمین و لایههای بالای اسکریپتها میشوند. هکرها به این نتیجه رسیدهاند که نفوذ به وبسایتهای بزرگ و حرفهای آسان نیست؛ بههمیندلیل، وبسایتهای کوچکتر ارائهدهندهی خدمات را هدف قرار دادهاند. علاوهبراین، آنان به ارائهدهندگان خدماتی همچون افزونههای چت، افزونههای پشتیبانی آنلاین، شرکتهای تحلیلگر و موارد مشابه حمله میکنند.
انگیزهی هکرها برای نفوذ به زنجیرهی تأمین کد وبسایتها با یکدیگر تفاوت دارد. بهعنوان مثال، برخی گروهها با نفوذ به شرکتهای واسط بهدنبال اجرای اسکریپتهای سرقت رمزارز بودهاند. برخی دیگر فقط به اطلاعات کاربران علاقهمند هستند و مانند همین حملهی اخیر، دادههای واردشده در فرمهای گوناگون را سرقت میکنند. حملهی اخیر بهدلایل دیگری هم اهمیت دارد؛ چراکه تمامی فرمهای موجود در وبسایتها را صرفنظر از نوعشان موردنفوذ قرار میدهد.
