کمیته رکن چهارم – یک حمله Supply-Chain باعث شد Web SDK شرکت AppsFlyer بهطور موقت به کد مخرب آلوده شود؛ کدی که برای سرقت ارزهای دیجیتال کاربران طراحی شده بود.
به گزارش کمیته رکن چهارم، این کد مخرب میتوانست آدرس کیفپول رمزارزی واردشده در وبسایتها را تغییر دهد و آن را با آدرس متعلق به مهاجم جایگزین کند تا داراییها به حساب او منتقل شوند.
شرکت AppsFlyer یکی از بزرگترین ارائهدهندگان خدمات Mobile Measurement Partner (MMP) است که برای تحلیل کمپینهای تبلیغاتی و بررسی رفتار کاربران در اپلیکیشنها استفاده میشود. طبق اعلام این شرکت، بیش از ۱۵ هزار کسبوکار از این SDK استفاده میکنند و این ابزار در بیش از ۱۰۰ هزار اپلیکیشن موبایل و وب به کار رفته است.
این حادثه توسط پژوهشگران امنیتی شرکت Profero کشف شد. آنها مشاهده کردند که یک اسکریپت JavaScript مبهمسازیشده از دامنه رسمی زیر توزیع میشود:
این اسکریپت مخرب در حالی که عملکرد عادی SDK را حفظ میکرد، در پسزمینه فعالیتهای مخرب انجام میداد. از جمله این فعالیتها میتوان به بارگذاری رشتههای رمزگذاریشده در زمان اجرا، نظارت بر صفحات وب برای شناسایی آدرس کیفپول رمزارز و اتصال به درخواستهای شبکه مرورگر اشاره کرد.
در صورتی که آدرس کیفپول رمزارزی شناسایی میشد، بدافزار آن را با آدرس متعلق به مهاجم جایگزین میکرد و اطلاعات مربوط به آدرس اصلی را برای مهاجم ارسال میکرد. رمزارزهای هدف این بدافزار شامل Bitcoin، Ethereum، Solana، Ripple و TRON بودهاند.
پژوهشگران معتقدند بازه زمانی این حمله احتمالاً بین March 9, 2026 تا March 11, 2026 بوده است، هرچند هنوز مشخص نیست آیا نفوذ مدت بیشتری ادامه داشته یا خیر.
شرکت AppsFlyer اعلام کرده این حادثه به دلیل مشکل در رجیسترار دامنه رخ داده که باعث شده کد غیرمجاز بهطور موقت از طریق Web SDK منتشر شود. این شرکت همچنین تأکید کرده Mobile SDK تحت تأثیر قرار نگرفته و هیچ نشانهای از دسترسی به دادههای مشتریان در سیستمهای داخلی مشاهده نشده است.
کارشناسان امنیتی توصیه کردهاند سازمانهایی که از AppsFlyer استفاده میکنند، لاگهای شبکه خود را برای درخواستهای مشکوک از دامنه websdk.appsflyer.com بررسی کنند و در صورت امکان نسخههای امن SDK را جایگزین کنند. همچنین بررسی تراکنشهای رمزارزی برای نشانههای دستکاری آدرس کیفپول توصیه شده است.
منبع: BleepingComputer
