The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Подмена кода проектов Picreel и Alpaca Forms привела к компрометации 4684 сайтов

13.05.2019 08:37

Исследователь безопасности Виллем де Гроот (Willem de Groot) сообщил, что в результате взлома инфраструктуры атакующие смогли внедрить вредоносную вставку в код системы web-аналитики Picreel и открытой платформы для генерации интерактивных web-форм Alpaca Forms. Подмена JavaScript-кода привела к компрометации 4684 сайтов, применяющих на своих страницах указанные системы (1249 - Picreel и 3435 - Alpaca Forms).

Внедрённый вредоносный код осуществлял сбор сведений о заполнении всех web-форм на сайтах и в том числе мог привести к перехвату ввода платёжной информации и параметров аутентификации. Перехваченная информация отправлялась на сервер font-assets.com под видом запроса изображений. Информации о том, как именно была скомпрометирована инфраструктура Picreel и CDN-сеть для доставки скрипта Alpaca Forms пока нет. Известно только что при атаке на Alpaca Forms были подменены скрипты, поставляемые через сеть доставки контента Cloud CMS. Вредоносная вставка была закамуфлирована под массив данных в минимизированной версии скрипта (расшифровку кода можно посмотреть здесь).

Среди пользователей скомпрометированных проектов отмечается много крупных компаний, включая Sony, Forbes, Trustico, FOX, ClassesUSA, 3Dcart, Saxo Bank, Foundr, RocketInternet, Sprit и Virgin Mobile. С учётом того, что это не первая атака подобного рода (см. инцидент с подменой счётчика StatCounter), администраторам сайтов рекомендуется очень внимательно относиться к размещению стороннего JavaScript-кода, особенно на страницах, связанных с платежами и аутентификацией.

  1. Главная ссылка к новости (https://www.zdnet.com/article/...)
  2. OpenNews: Атака на биржу криптовалюты через взлом счётчика StatCounter
  3. OpenNews: На страницах портала Госуслуг РФ обнаружен посторонний вредоносный код
  4. OpenNews: Более 5900 интернет-магазинов поражены вредоносным ПО для перехвата номеров кредитных карт
  5. OpenNews: Анализ средств отслеживания действий пользователей на сайтах
  6. OpenNews: Инцидент с захватом прав на NPM-модуль привёл к сбою в работе проектов, использующих NPM
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50673-hack
Ключевые слова: hack, javascript, cdn
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:16, 13/05/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –35 +/
     

     ....ответы скрыты (2)

  • 1.5, trolleybus (?), 09:29, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Правильно, нечего было грузить скрипты через CDN
     
  • 1.6, Аноним (6), 09:30, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией о банковских карточках.
     
     
  • 2.8, рэбе Иванов (?), 10:09, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых
    > сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией
    > о банковских карточках.

    видите ли, в любом случае - вас все равно трахнут.

    пока не научитесь, наконец, соображать, что cdn нужны не для того чтобы тянуть оттуда в рот любой мусор.

     
  • 2.10, Гентушник (ok), 10:18, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Сбербанк в личном кабинете например не использует.
    У них тянутся скрипты с google-analytics.com, rutarget.ru и yandex.ru.
     
     
  • 3.11, пох (?), 10:22, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    если бы использовали - оно бы и ломалось по три раза на дню - каждый раз, как гуглевая или яндексная макака закоммитит апдейт.

    но фанаты новых-модных браузерофич никогда не поумнеют, это исключено.

     
     
  • 4.13, Аноним (13), 10:47, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Фичи это инструмент. Можно орехи колоть, а можно — яйца.
     
     
  • 5.22, пох (?), 12:15, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    вопрос в том, какое у этой фичи может быть хоть примерно полезное применение.
    Если cdn твой личный, и сделан ради снижения нагрузки - она не нужна, хватит обычного ssl.
    Если cdn дядин, и сделан ради обмазывания свежайшим (ну чтоб гугель в любой момент мог поулучшать что-нибудь твоим пользователям) - она не работает, дядя - он такой, не будет тебя предупреждать, когда ему вздумалось поменять что-то.
    Если ты веб-макака и забил хэши прямотянутого с raw.githubusercontent конкретной версии, вместо того чтобы просто скопировать их оттуда на свой сервер - твоим юзверям все равно страдать, а microsoft получила новую полезную инфу для перепродажи гуглю, но она не тебе полезна.

     
     
  • 6.30, Аноним (30), 13:54, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Если cdn твой личный, и сделан ради снижения нагрузки - она не нужна, хватит обычного ssl.
    > Если cdn дядин, и сделан ради обмазывания свежайшим (ну чтоб гугель в любой момент мог поулучшать что-нибудь твоим пользователям) - она не работает, дядя - он такой, не будет тебя предупреждать, когда ему вздумалось поменять что-то.

    Есть один-единственный юзкейс: скрипты твои, а CDN дядин.

     
     
  • 7.31, Аноним (31), 14:10, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    разве что так. но все равно это костыли.
     
  • 7.32, OpenEcho (?), 14:20, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не правда. Есть два use cases:
    - не напрягать голову и делать "как все" = CDN
    - напрягать голову и делать "не как все" = свои серваки с разнесенными георафически IP
     
     
  • 8.44, пох (?), 10:12, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вопрос в экономическом обосновании если у кого-то уже есть серваки разнесенные ... текст свёрнут, показать
     
  • 7.43, пох (?), 10:04, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, в принципе, да - для традиционных сервисов он обламывается об "you are not google!" (also not amazon, facebook, etc), но если у тебя уже все в чужом облаке - глупо платить за мощности облака там, где можно сэкономить (раздача статики наверняка дешевле обойдется через cdn чем напрямую с инстансов - вопрос только, можно ли эту экономию увидеть хотя бы в микроскоп).

    А по факту сегодня массовое использование cdn'ов - безмозглая копипаста со стека или такое же безмозглое втягивание чужих "аналитик".
    Причем тот же сбер уже ловили на сливе данных клиентов таким образом - он даже не утерся, "божья роса".

     
     
  • 8.50, OpenEcho (?), 19:48, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот в этом вся проблема Большиство сайтов с посещаемостью в 100 реальных люде... текст свёрнут, показать
     
  • 3.40, Kuromi (ok), 20:30, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это мелочи. У Почта Банка чтобы в "личный кабинет" войти надо Гугловскую рекапчу пройти!
     
     
  • 4.49, макака из Джета (?), 17:13, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    мы непричем, нам так заказали
     
  • 2.29, Аноним (30), 13:52, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кто-то еще не использует атрибут integrity в тегах link с хешами подключаемых сторонних скриптов, лежащих на cdn’ах? Тем более в формах с информацией о банковских карточках.

    Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы с формами для ввода платёжной информации?

     
     
  • 3.45, яндекс (?), 10:13, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто-то ещё думает, что, используя integrity, можно пихать сторонние скрипты на страницы
    > с формами для ввода платёжной информации?

    вы что, НАМ не доверяете?

     
     
  • 4.48, Аноним (30), 12:52, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, конечно. Мы ж не сбербанк какой, мы анонимы!
     

  • 1.7, Аноним (13), 09:58, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Лепота.
     
  • 1.9, Аноним (9), 10:17, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    а сколько всего еще не нашли
     
  • 1.12, Аноним (12), 10:32, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Вэб-макаки, сэр!
     
  • 1.14, Аноним (14), 11:04, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ахах, опять JS, девляпсы и бесконтрольная загрузка из чужих хранилищ.
     
  • 1.15, А (??), 11:06, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Доинтегрировались.
     
     
  • 2.24, Собянина в отставку (?), 12:38, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Доинтегрировались.

    Вася Пупкин на коленке быстро и дешево напишет без багов с предоставлением подробного почасового отчета зваказчику

     

  • 1.16, Аноним (16), 11:07, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про Cross-origin resource sharin не читали?
     
  • 1.19, Аноним (19), 11:15, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Уважаемые анонимы и не очень! Подскажите, возможно ли каким-лиюо образом запретить исполнение подобного обфусцированного Javascript-мусора, кроме как * * script block в uMatrix?
     
     
  • 2.21, рэбе Иванова (?), 12:07, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    можно. Но сайт, чей функционал (а alpaca это таки функционал, а не просто слежка) зависит от такого кода - работать не будет.

    поэтому с тем же успехом может отключить себе интернет, и сэкономить пару шекелей на абонентской плате

     
  • 2.36, имя (?), 17:51, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    устанавливай librejs и проблем у тебя со скриптами точно не будет
     

  • 1.23, Аноним (23), 12:24, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это просто отлично. Ещё один аргумент за "уберите с сайта это г****". Правда многим пофиг, ибо "оплати нам bandwidth для статики, тогда мы перенесём её на свои сервера, а пока - пошёл ....".
     
  • 1.26, Аноним (26), 12:43, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > CDN-сеть для доставки скрипта

    Ну понятно, если сай наколеночный. Но

    > Sony, Forbes, Trustico

    facepalm.jpg ну уж у этих-то не хватило денег оплатить канал для своей статики, да...

     
     
  • 2.28, Я (??), 13:31, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А кто им сайты делает, как ты думаешь?

    Макаки, макаки эвривер. Индусы, китайцы, русские, украинцы, молдаване, румыны, прочие- всегда, ВСЕГДА: "... и в продакшн". Просто этим компаниям услуги сайтостроения проталкивают люди, которые больше потратились на свой внешний вид, чем на команду кодеров.

    Поэтому это не первый и не последний случай (естественно)

     
     
  • 3.35, Аноним (26), 15:59, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А кто им сайты делает, как ты думаешь?

    Да это понятно...

     
  • 3.37, имя (?), 17:53, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > "... и в продакшн"

    как ты думаешь почему так? А потому что крупные компании часто не отличаются от Васи Пупкина, который хочет сайт здесь и сейчас, а писать или согласовывать ТЗ ему некогда, зато когда все почти готово его ВНЕЗАПНО осеняет гениальная идея в плане функционала.

     
  • 2.34, Аноним (34), 15:13, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Канал куда?
     
  • 2.41, forum reader (?), 22:31, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Sony, Forbes, Trustico
    >facepalm.jpg ну уж у этих-то не хватило денег оплатить канал для своей статики, да...

    Там не статика, там  "код системы web-аналитики". Рисовалка красивых диаграмм для вышестоящего руководства. Чем красивее диаграмма, тем больше месячная премия.  

    Топменеджерам коучи на тренингах так показывают правильную картинку, что ИТшникам легче внедрить еще одну систему, чем каждый год каждому новому проходимцу объяснять что "наша аналитика умеет все тоже самое и даже немножко лучше больше быстрее точнее, просто картинка совсем другая."

     
     
  • 3.46, пох (?), 10:17, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > что "наша аналитика умеет все тоже самое и даже немножко лучше
    > больше быстрее точнее, просто картинка совсем другая."

    угу, а когда это продолжается несколько лет к ряду (прежние проходимцы обратно уже отчалили в свой бангалор) - получаем при покупке авиабилета на сайте одной восточной авиакомпании - около _сотни_ разных подглядывающих и подслушивающих. Причем половине сливается вся инфа из билета, вторая половина может о недостающей догадаться по твоему ip/id/гуглелогину, и друг с дружкой они тоже не забывают поделиться.

     
  • 2.51, Аноним (51), 22:12, 15/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А в больших и дорогих корпорациях карьеру делают, а не сайты. С чего вы взяли, что аффекченные конторы сайт свой сами или у кого-то делали? Они карьеру делали. Поскорее, проще, чтоб только дотянуть и успеть уйти вверх.
     

  • 1.27, Я (??), 13:26, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Заслужили
     
     
  • 2.33, OpenEcho (?), 14:26, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как думаете? Научатся на горьком опыте?
     
     
  • 3.42, Led (ok), 23:44, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Макаки не эволюционируют.
     
  • 3.47, пох (?), 10:18, 14/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как думаете? Научатся на горьком опыте?

    думаешь, у них бэкапа тоже не было?

    В остальных случаях - они даже и не заметят.


     

  • 1.38, Чак Норрис (?), 19:33, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Не следует класть все яйца в одну мошонку.
     
  • 1.39, n1rdeks (ok), 19:36, 13/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Виллем де Гроот (Willem de Groot)

    "I'm Groot"

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру