Diese Woche wurde ein besorgniserregendes Eindringen in die digitale Lieferkette erkannt: Das AppsFlyer SDK Web, eine Bibliothek, die viele Seiten und Anwendungen laden, um Marketing-Kampagnen zu messen, diente schädlichen Code, der Kryptomonedas stehlen kann. Der Angreifer nutzte das Vertrauen, das in einen weit verbreiteten Dritten gesetzt wurde, um Billet-Adressen zu ändern und Geld abzuleiten, eine Technik, die ein einfaches analytisches Skript in eine Hintertür für Endbenutzer verwandelt.
AppsFlyer ist kein kleineres Werkzeug: Laut dem Unternehmen selbst wird seine Plattform von 15.000 Unternehmen und über 100.000 mobile und Webanwendungen, die die Wirkungsmöglichkeit multipliziert, wenn eine solche Abhängigkeit beeinträchtigt wird. Unternehmensinformationen zu AppsFlyer finden Sie auf Ihrer offiziellen Seite. AppsFlyer - Über.
Die Intrusion wurde von Profer-Forschern gemeldet, die JavaScript opuscado aus der offiziellen Domain des SDK-Webs identifiziert. Seine Analyse, die auf dem Blog des Unternehmens veröffentlicht wurde, zeigt, dass der bösartige Code entworfen wurde, um unbemerkt zu passieren: es hält die SDK-Funktionalität für die Seite sichtbar, aber im Hintergrund defiguriert es ostrucated chains und ist an die Netzwerkanfragen des Browsers angeschlossen. Sie können die vollständige Forschung im Bericht von Profer lesen: Versteckt an der Quelle - Profera.
Der Betrugsmechanismus ist direkt und effektiv: Das Skript überwacht Formulare und Einträge, in denen Benutzer gewöhnlich Kryptomoneda Wallet einfügen oder schreiben; durch Erfassen einer gültigen Adresse wird es durch eine vom Angreifer gesteuerte ersetzt und sendet gleichzeitig die ursprüngliche Adresse und Metadaten, die mit Remoteservern verbunden sind. Auf diese Weise kann ein Transfer, den Sie für Ihren tatsächlichen Empfänger autorisieren, in einem Angreiferkonto enden, ohne dass das Opfer es bemerkt, bis die Blockkette überprüft wird..
Die Arten von Adressen, die der Code suchte, umfassen die am meisten auf dem Markt verwendet: Bitcoin, Ethereum, Solana, Ripple und TON, so dass viel der täglichen Transaktionen in Kryptomonedas. Dies unterstreicht die Idee, dass das Ziel nicht ein isolierter Benutzer, sondern ein groß angelegter Betrug durch eine gemeinsame Infrastruktur war.
Profero schätzt ein anfängliches Belichtungsfenster zwischen der Nacht vom 9. März (22: 45 UTC) und 11. März, obwohl der genaue Umfang - wie viele Seiten und wie viele Nutzer betroffen waren - noch nicht vollständig überprüft ist. Einige Benutzer und Betreiber begannen, das Problem in Foren und Netzwerken zu warnen; ein Thread in r / Cybersicherheit sammelte frühe Berichte über verdächtiges Verhalten von mehreren Benutzern gemeldet.
AppsFlyer veröffentlichte eine kurze Mitteilung auf seiner State-Seite, wo er Attribute, was mit einem Vorfall mit dem Domain-Recorder passierte, dass für eine kurze Zeit, die Lieferung von unberechtigten Code aus dem SDK-Domain-Web erlaubt. Das Unternehmen stellt fest, dass das mobile SDK nicht betroffen war und dass es bisher keinen Nachweis für den Zugriff auf Clientdaten innerhalb seiner Systeme gibt. Der Statushinweis ist verfügbar unter: AppsFlyer - Incident status.
Situationen wie diese markieren die Fragilität der Software-Versorgungskette: Drittanbieter-Einheiten, wenn nötig, stellen Risiken ein, die in Kaskaden verbreitet werden können. Organisationen und Entwickler sollten diese Realität als integraler Bestandteil ihres Risikomanagements ansprechen, gute Praktiken in der Integritätsprüfung, Versionskontrolle und Überwachung des ausgehenden Verkehrs angehen.
Da die betroffenen Unternehmen ihre forensischen Untersuchungen mit externer Unterstützung absolvieren, gibt es praktische Maßnahmen, die sofort in Betracht gezogen werden sollten. Überprüfen Sie Telemetrie-Aufzeichnungen, um ungewöhnliche Anfragen an websdk.appsflyer.com zu erkennen, frühere und überprüfte Versionen des SDK wiederherzustellen, und Audit jedes Skript, das von Dritt-Domains geladen wird, sind vernünftige Schritte. Darüber hinaus ist es ratsam, Benutzer, die Transfers zu den Zeitpunkten der möglichen Exposition gemacht haben, um ihre Operationen in der Blockkette zu überprüfen und gegebenenfalls die Unterstützungsdienste der beteiligten kryptographischen Plattformen zu kontaktieren.
Für diejenigen, die Kryptomonedas bewegen oder verwalten, diese Bedrohung setzt in Wert einfache aber effektive Praktiken: manuell überprüfen Sie die Adressen vor dem Kleben, bevorzugen Methoden, die direkte Bearbeitung der Zwischenablage vermeiden (QR-Codes, URI an Hardware-Waletten signiert), und halten Software und Browser-Erweiterungen täglich. Es ist auch angebracht, über spezifische Risiken in Bibliotheken und SDKs durch Beratung von Sicherheitsressourcen in der Lieferkette, wie die Materialien der Software-Sicherheitsgemeinschaft, zu berichten: OWASP - Supply Chain Security.
Dies ist nicht das erste Mal, dass eine AppsFlyer-Einheit im Fokus von größeren Ereignissen erschienen ist, und Wiederauftreten verursacht viele Sicherheitsteams sorgfältiger jede Integration von Drittanbietern zu überprüfen. Inzwischen haben Forscher und einige Medien auf den Fall gefolgt und AppsFlyer wird erwartet, mehr Details zu veröffentlichen, wenn seine forensische Untersuchung abgeschlossen ist und vertretbare Ergebnisse teilen kann.
Kurz gesagt, diese Folge erinnert daran, dass die Sicherheit nicht nur die Verantwortung des betreffenden Dienstleisters ist: Wenn Sie auf Hunderte von Standorten verteilte Komponenten vertrauen, wird die Verantwortung zwischen Lieferanten, Integratoren und denen geteilt, die die Enddienste betreiben. Die Lektion ist klar: Abhängigkeiten zu prüfen, ungewöhnliche Verhaltensweisen zu überwachen und einen Plan zur Reaktion auf Verpflichtungen in der Lieferkette zu haben sind Praktiken, die nicht mehr optional sind in einem zunehmend vernetzten Ökosystem.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...