Подмена кода проектов Picreel и Alpaca Forms привела к компрометации 4684 сайтов

Исследователь безопасности Виллем де Гроот (Willem de Groot) сообщил, что в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel и открытой платформы для генерации интерактивных web-форм Alpaca Forms. Подмена JavaScript-кода привела к компрометации 4684 сайтов, применяющих на своих страницах указанные системы (1249 — Picreel и 3435 — Alpaca Forms).

Внедрённый вредоносный код осуществлял сбор сведений о заполнении всех web-форм на сайтах и в том числе мог привести к перехвату ввода платёжной информации и параметров аутентификации. Перехваченная информация отправлялась на сервер font-assets.com под видом запроса изображений. Информации о том, как именно была скомпрометирована инфраструктура Picreel и CDN-сеть для доставки скрипта Alpaca Forms пока нет. Известно только что при атаке на Alpaca Forms были подменены скрипты, поставляемые через сеть доставки контента Cloud CMS. Вредоносная вставка была закамуфлирована под массив данных в минимизированной версии скрипта (расшифровку кода можно посмотреть здесь).

Среди пользователей скомпрометированных проектов отмечается много крупных компаний, включая Sony, Forbes, Trustico, FOX, ClassesUSA, 3Dcart, Saxo Bank, Foundr, RocketInternet, Sprit и Virgin Mobile. С учётом того, что это не первая атака подобного рода (см. инцидент с подменой счётчика StatCounter), администраторам сайтов рекомендуется очень внимательно относиться к размещению стороннего JavaScript-кода, особенно на страницах, связанных с платежами и аутентификацией.

Источник: opennet.ru