Willem de Groot, chercheur en sécurité qu'à la suite du piratage de l'infrastructure, les attaquants ont pu insérer un insert malveillant dans le code du système d'analyse Web et une plateforme ouverte pour générer des formulaires Web interactifs . La substitution du code JavaScript a conduit à la compromission de 4684 XNUMX sites utilisant ces systèmes sur leurs pages ( -Picreel et - Formes d'alpaga).
Mis en œuvre collecté des informations sur le remplissage de tous les formulaires Web sur les sites et pourrait, entre autres, conduire à l'interception de la saisie des informations de paiement et des paramètres d'authentification. Les informations interceptées ont été envoyées au serveur font-assets.com sous couvert d'une demande d'image. Il n'y a pas encore d'informations sur la manière exacte dont l'infrastructure Picreel et le réseau CDN pour la fourniture du script Alpaca Forms ont été compromis. On sait seulement que lors d'une attaque contre Alpaca Forms, les scripts livrés via le réseau de diffusion de contenu Cloud CMS ont été remplacés. a été camouflé sous la forme d'un ensemble de données dans script (vous pouvez voir la transcription du code ).
Parmi les utilisateurs de projets compromis figurent de nombreuses grandes entreprises, notamment Sony, Forbes, Trustico, FOX, ClassesUSA, 3Dcart, Saxo Bank, Foundr, RocketInternet, Sprit et Virgin Mobile. Tenant compte du fait que ce n'est pas la première attaque de ce genre (voir. avec le remplacement du compteur StatCounter), il est conseillé aux administrateurs de sites d'être très prudents lorsqu'ils placent du code JavaScript tiers, notamment sur les pages liées aux paiements et à l'authentification.
Source: opennet.ru