Duy Linh
Writer
Một lỗ hổng bảo mật chuỗi cung ứng trong tiện ích Okendo Reviews đã tạo điều kiện cho nhóm tin tặc SmartApeSG triển khai các trình tải JavaScript độc hại trên quy mô lớn đối với các trang thương mại điện tử.
Okendo Reviews là tiện ích đánh giá khách hàng được hơn 18.000 thương hiệu sử dụng, thường xuất hiện tại các vị trí có mức độ hiển thị cao như trang chủ, trang sản phẩm và màn hình gửi đánh giá. Điều này khiến đoạn mã bị chèn có khả năng tiếp cận lượng lớn người dùng truy cập các website sử dụng tiện ích này.
Nhóm nghiên cứu ThreatLabz đã báo cáo sự cố cho Okendo. Nhà cung cấp sau đó xác nhận đã tiếp nhận thông tin và khôi phục tiện ích về trạng thái an toàn ban đầu.
Phân tích kỹ thuật cho thấy mã độc được SmartApeSG chèn vào không hoạt động như một cuộc tấn công trực tiếp dễ nhận biết, mà được thiết kế như một trình tải nhiều giai đoạn nhằm giảm khả năng bị phát hiện.
Trước tiên, JavaScript độc hại thực hiện các bước kiểm tra môi trường và kiểm soát quá trình thực thi để hạn chế việc chạy lặp lại, đồng thời tập trung vào các mục tiêu có giá trị cao.
Cơ chế lọc User-Agent ưu tiên kích hoạt trên môi trường máy tính để bàn và loại bỏ nhiều ứng dụng di động. Cách tiếp cận này phù hợp với các chiến dịch ClickFix ở giai đoạn sau, vốn dựa trên các thao tác tương tác của người dùng trên máy tính.
Bên cạnh đó, mã độc sử dụng localStorage để lưu dấu thời gian thực thi đầu tiên và trì hoãn các lần kích hoạt tiếp theo. Điều này giúp giảm tần suất xuất hiện của hoạt động đáng ngờ và kéo dài thời gian trước khi bị phát hiện.
Tổng quan về quy trình làm việc của trình tải SmartApeSG (Nguồn: Zscaler).
Sau khi hoàn thành các bước kiểm tra môi trường, trình tải sẽ tái tạo URL của giai đoạn tiếp theo bằng phương pháp giải mã XOR đối với các chuỗi dữ liệu đã được mã hóa và phân mảnh.
Thay vì lưu hạ tầng điều khiển dưới dạng văn bản thuần túy, mã độc giải mã nhiều đoạn mã hex trong thời gian chạy và tạo ra một mã thông báo ngẫu nhiên, thường dài tám ký tự, để xây dựng đường dẫn tải nội dung tiếp theo.
Mã JavaScript độc hại của SmartApeSG được chèn vào tập lệnh Okendo Reviews (Nguồn: Zscaler).
Sau đó, trình tải tự động chèn một phần tử script mới nhằm tải giai đoạn kế tiếp chỉ khi các điều kiện phù hợp được đáp ứng.
Mô hình tải theo từng giai đoạn này giúp giảm hiệu quả của các phương pháp phát hiện tĩnh, đồng thời cho phép kẻ tấn công thay đổi hạ tầng từ xa mà không cần cập nhật lại tải trọng chính đang được triển khai trên diện rộng.
Ngoài các kỹ thuật che giấu và kiểm soát thực thi, SmartApeSG còn sử dụng các thủ đoạn kỹ thuật xã hội ở các giai đoạn tiếp theo của chuỗi tấn công.
ThreatLabz quan sát thấy các giai đoạn sau thường hiển thị CAPTCHA giả hoặc các thông báo xác minh giả mạo. Người dùng sau đó được hướng dẫn thực hiện các thao tác thông qua hộp thoại Run của Windows nhằm tải xuống các trình tải dựa trên PowerShell hoặc HTA.
Các chiến dịch trước đây của SmartApeSG thường dẫn đến việc triển khai phần mềm điều khiển từ xa như NetSupport và Remcos, các công cụ đánh cắp thông tin như StealC cùng nhiều công cụ độc hại có khả năng duy trì hiện diện lâu dài trên hệ thống. Các báo cáo trước đây của Zscaler và các đơn vị nghiên cứu khác cũng ghi nhận mối liên hệ giữa những họ mã độc này với hoạt động của SmartApeSG.
Khối SmartApeSG (trên thang logarit) trong đám mây Zscaler vào tháng 5 năm 2026 (Nguồn: Zscaler).
Một thương hiệu bán lẻ tại Mỹ nằm trong danh sách bị ảnh hưởng được ghi nhận có khoảng 7 triệu lượt truy cập mỗi tháng. Dù lưu lượng truy cập không đồng nghĩa với số lượng thiết bị bị nhiễm thực tế, nhưng điều này cho thấy tiềm năng phát tán rất lớn khi mã độc được thực thi trực tiếp trong trình duyệt người dùng tại các trang có lượng truy cập cao.
Dữ liệu đo từ xa của Zscaler cũng ghi nhận mức tăng đột biến về số lượng phát hiện vào ngày 14/5/2026, với gần 15.000 lượt chặn chỉ trong một ngày.
Sự cố lần này tiếp tục cho thấy rủi ro nghiêm trọng từ việc xâm phạm các tiện ích của bên thứ ba. Chỉ một nhà cung cấp bị tấn công cũng có thể khiến mã thực thi độc hại được phân phối tới hàng nghìn website và hàng triệu phiên truy cập của người dùng.
Các chuyên gia bảo mật khuyến nghị doanh nghiệp tăng cường giám sát tính toàn vẹn của các tập lệnh bên ngoài, triển khai Subresource Integrity (SRI) và Content Security Policy (CSP) khi có thể, đồng thời áp dụng các biện pháp phát hiện hành vi để nhận diện các trình tải nhiều giai đoạn, hoạt động giải mã trong thời gian chạy và việc chèn tập lệnh động.
Các tổ chức sử dụng tiện ích của bên thứ ba cũng nên yêu cầu nhà cung cấp áp dụng cơ chế phân phối an toàn, quy trình khôi phục nhanh và chính sách công bố sự cố minh bạch.
Okendo Reviews là tiện ích đánh giá khách hàng được hơn 18.000 thương hiệu sử dụng, thường xuất hiện tại các vị trí có mức độ hiển thị cao như trang chủ, trang sản phẩm và màn hình gửi đánh giá. Điều này khiến đoạn mã bị chèn có khả năng tiếp cận lượng lớn người dùng truy cập các website sử dụng tiện ích này.
Nhóm nghiên cứu ThreatLabz đã báo cáo sự cố cho Okendo. Nhà cung cấp sau đó xác nhận đã tiếp nhận thông tin và khôi phục tiện ích về trạng thái an toàn ban đầu.
Phân tích kỹ thuật cho thấy mã độc được SmartApeSG chèn vào không hoạt động như một cuộc tấn công trực tiếp dễ nhận biết, mà được thiết kế như một trình tải nhiều giai đoạn nhằm giảm khả năng bị phát hiện.
Trước tiên, JavaScript độc hại thực hiện các bước kiểm tra môi trường và kiểm soát quá trình thực thi để hạn chế việc chạy lặp lại, đồng thời tập trung vào các mục tiêu có giá trị cao.
Cơ chế lọc User-Agent ưu tiên kích hoạt trên môi trường máy tính để bàn và loại bỏ nhiều ứng dụng di động. Cách tiếp cận này phù hợp với các chiến dịch ClickFix ở giai đoạn sau, vốn dựa trên các thao tác tương tác của người dùng trên máy tính.
Bên cạnh đó, mã độc sử dụng localStorage để lưu dấu thời gian thực thi đầu tiên và trì hoãn các lần kích hoạt tiếp theo. Điều này giúp giảm tần suất xuất hiện của hoạt động đáng ngờ và kéo dài thời gian trước khi bị phát hiện.
Tổng quan về quy trình làm việc của trình tải SmartApeSG (Nguồn: Zscaler).
Chuỗi lây nhiễm nhiều giai đoạn giúp né tránh phát hiện
Ngày 14/5/2026, nhóm Zscaler ThreatLabz ghi nhận hoạt động bất thường ở mức cao liên quan đến SmartApeSG trong quá trình triển khai phần mềm độc hại.Sau khi hoàn thành các bước kiểm tra môi trường, trình tải sẽ tái tạo URL của giai đoạn tiếp theo bằng phương pháp giải mã XOR đối với các chuỗi dữ liệu đã được mã hóa và phân mảnh.
Thay vì lưu hạ tầng điều khiển dưới dạng văn bản thuần túy, mã độc giải mã nhiều đoạn mã hex trong thời gian chạy và tạo ra một mã thông báo ngẫu nhiên, thường dài tám ký tự, để xây dựng đường dẫn tải nội dung tiếp theo.
Mã JavaScript độc hại của SmartApeSG được chèn vào tập lệnh Okendo Reviews (Nguồn: Zscaler).
Sau đó, trình tải tự động chèn một phần tử script mới nhằm tải giai đoạn kế tiếp chỉ khi các điều kiện phù hợp được đáp ứng.
Mô hình tải theo từng giai đoạn này giúp giảm hiệu quả của các phương pháp phát hiện tĩnh, đồng thời cho phép kẻ tấn công thay đổi hạ tầng từ xa mà không cần cập nhật lại tải trọng chính đang được triển khai trên diện rộng.
Ngoài các kỹ thuật che giấu và kiểm soát thực thi, SmartApeSG còn sử dụng các thủ đoạn kỹ thuật xã hội ở các giai đoạn tiếp theo của chuỗi tấn công.
ThreatLabz quan sát thấy các giai đoạn sau thường hiển thị CAPTCHA giả hoặc các thông báo xác minh giả mạo. Người dùng sau đó được hướng dẫn thực hiện các thao tác thông qua hộp thoại Run của Windows nhằm tải xuống các trình tải dựa trên PowerShell hoặc HTA.
Các chiến dịch trước đây của SmartApeSG thường dẫn đến việc triển khai phần mềm điều khiển từ xa như NetSupport và Remcos, các công cụ đánh cắp thông tin như StealC cùng nhiều công cụ độc hại có khả năng duy trì hiện diện lâu dài trên hệ thống. Các báo cáo trước đây của Zscaler và các đơn vị nghiên cứu khác cũng ghi nhận mối liên hệ giữa những họ mã độc này với hoạt động của SmartApeSG.
Khối SmartApeSG (trên thang logarit) trong đám mây Zscaler vào tháng 5 năm 2026 (Nguồn: Zscaler).
Phạm vi ảnh hưởng cực lớn do tiện ích được triển khai trên hàng nghìn website
Theo ThreatLabz, phạm vi tác động của sự cố là rất đáng kể. Trong thời gian theo dõi, tiện ích Okendo được phát hiện trên nhiều website, từ các cửa hàng trực tuyến quy mô trung bình đến những nền tảng thương mại điện tử lớn. Lượng truy cập hàng tháng của các website bị ảnh hưởng dao động từ khoảng 150.000 đến vài triệu lượt truy cập.Một thương hiệu bán lẻ tại Mỹ nằm trong danh sách bị ảnh hưởng được ghi nhận có khoảng 7 triệu lượt truy cập mỗi tháng. Dù lưu lượng truy cập không đồng nghĩa với số lượng thiết bị bị nhiễm thực tế, nhưng điều này cho thấy tiềm năng phát tán rất lớn khi mã độc được thực thi trực tiếp trong trình duyệt người dùng tại các trang có lượng truy cập cao.
Dữ liệu đo từ xa của Zscaler cũng ghi nhận mức tăng đột biến về số lượng phát hiện vào ngày 14/5/2026, với gần 15.000 lượt chặn chỉ trong một ngày.
Sự cố lần này tiếp tục cho thấy rủi ro nghiêm trọng từ việc xâm phạm các tiện ích của bên thứ ba. Chỉ một nhà cung cấp bị tấn công cũng có thể khiến mã thực thi độc hại được phân phối tới hàng nghìn website và hàng triệu phiên truy cập của người dùng.
Các chuyên gia bảo mật khuyến nghị doanh nghiệp tăng cường giám sát tính toàn vẹn của các tập lệnh bên ngoài, triển khai Subresource Integrity (SRI) và Content Security Policy (CSP) khi có thể, đồng thời áp dụng các biện pháp phát hiện hành vi để nhận diện các trình tải nhiều giai đoạn, hoạt động giải mã trong thời gian chạy và việc chèn tập lệnh động.
Các tổ chức sử dụng tiện ích của bên thứ ba cũng nên yêu cầu nhà cung cấp áp dụng cơ chế phân phối an toàn, quy trình khôi phục nhanh và chính sách công bố sự cố minh bạch.
Các dấu hiệu xâm phạm (IOC)
- hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js
- hxxps://api[.]wigetticks[.]com/logout/private-response[.]php?8D1V4th3
- hxxps://api[.]wizzleticks[.]com/claims/scope-schema[.]php?4ManBBdA
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
