Gli hacker raccolgono informazioni su pagamenti e password da più di 4.600 siti

Due recenti attacchi a catena di fornitura hanno consentito agli hacker di raccogliere le informazioni di pagamento e le password utente di oltre 4.600 siti web.
Secondo ZDNet , gli attacchi della supply chain sono stati individuati dall'utente Twitter e dall'analista forense Sanguine Security Willem de Groot e sono stati ancora considerati in corso a partire da domenica 12 maggio.
Gli attacchi hanno comportato la violazione di un servizio di analisi noto come Picreel e un progetto open source chiamato Alpaca Forms. In sostanza, gli hacker responsabili dell'attacco hanno alterato i file JavaScript di ciascuna azienda al fine di "incorporare codice dannoso su oltre 4.600 siti Web". Una volta incorporato, il codice dannoso raccoglieva quindi le informazioni fornite dagli utenti del sito Web (informazioni di pagamento, accessi e contatti forma dati) e quindi ha inviato le informazioni raccolte a un server a Panama.
Il modo in cui il codice dannoso è stato in grado di raggiungere migliaia di siti web in modo così rapido può essere spiegato dal tipo di società che hanno attaccato in primo luogo. Ad esempio, come nota ZDNet, il servizio principale di Picreel è che consente ai "proprietari del sito di registrare ciò che gli utenti stanno facendo e in che modo interagiscono con un sito web per analizzare i modelli comportamentali e aumentare i tassi di conversazione". E per fornire quel servizio, I clienti Picreel (leggi: proprietari di siti Web) devono inserire un po 'di codice JavaScript nei propri siti web. Il codice dannoso è stato diffuso alterando quel bit di codice JavaScript.
Alpaca Forms è fondamentalmente un progetto open-source utilizzato per costruire moduli web. Il progetto è stato creato da Cloud CMS. Gli hacker sono riusciti a diffondere il loro codice malevolo tramite Alpaca Forms violando una rete di servizi di consegna dei contenuti (CDN) utilizzata da Alpaca Forms e gestita da Cloud CMS. Dopo aver violato questo CDN, gli hacker sono stati quindi in grado di modificare uno script di Alpaca Form per diffondere il codice dannoso. In una dichiarazione inviata per posta elettronica a ZDNet, il Chief Technical Officer di Cloud CMS, Michael Uzquiano, ha affermato che è stato modificato solo un file JavaScript di Alpaca Form. Inoltre, ZDNet riporta anche che il CDN interessato è stato rimosso da Cloud CMS. La società del sistema di gestione dei contenuti ha inoltre dichiarato quanto segue: "Non sono stati riscontrati problemi di sicurezza o di sicurezza con Cloud CMS, i suoi clienti oi suoi prodotti".
Tuttavia, come nota ZDNet, questa conclusione non sembra essere supportata da alcuna prova. Inoltre, il codice trovato nell'attacco di Alpaca Forms è stato individuato su 3.435 siti. E il codice malevolo trovato nell'attacco di Picreel è stato notoriamente individuato su 1.249 siti web finora.
Al momento non è chiaro chi siano gli hacker. Tuttavia, è stato segnalato da de Groot via Twitter , lunedì 13 maggio, che il codice dannoso è stato finalmente rimosso da Picreel e Cloud CMS.