27/01/25
Злоумышленники внедрили вредоносные программы, создающие скрытые ссылки в DOM (Document Object Model), которые перенаправляют пользователей на сторонние ресурсы. Атака была выявлена 20 января 2025 года, но по состоянию на 22 января ни одна система обнаружения угроз не заметила её, пишет Securitylab.
По данным компании c/side, основным способом атаки является использование методов «чёрной» SEO-оптимизации. Вредоносные ссылки, внедряемые в код, визуально скрываются с помощью CSS. Один из используемых примеров:
style="overflow: auto; position: absolute; height: 0pt; width: 0pt;"
Такой подход позволяет ссылкам оставаться незаметными для пользователей, при этом они индексируются поисковыми системами, повышая рейтинг связанных ресурсов. Скрипты размещаются на домене scriptapi[.]dev, где выявлено несколько их разновидностей, например:
- scriptapi[.]dev/api/smacr[.]js
- scriptapi[.]dev/api/en[.]tlu[.]js
- scriptapi[.]dev/api/harvardpress[.]js
Механизм работы скрипта включает определение местоположения в DOM с помощью метода document.currentScript и внедрение ссылок перед самим тегом <script> с использованием метода insertAdjacentHTML('beforebegin', linksHTML).
Среди пострадавших сайтов — ресурсы, использующие популярные платформы и фреймворки: WordPress 6.7.1, MS ASP.NET, vBulletin, PHP CodeIgniter и даже 1C-Битрикс. Перечень таких сайтов можно найти на платформах PublicWWW и URLScan .
Эта атака подчёркивает растущие риски цепочки поставок в веб-разработке. Использование сторонних скриптов делает веб-сайты уязвимыми для подобных атак, поскольку они имеют прямой доступ к DOM и могут выполнять любые действия в браузере пользователя.
Рекомендации по защите для администраторов веб-ресурсов:
- Обновление и аудит плагинов — проверьте используемые плагины, удалите неиспользуемые и убедитесь в их актуальности.
- Реализация CSP (Content Security Policy) — ограничьте включение сторонних скриптов только доверенными доменами.
- Использование SRI (Subresource Integrity) — проверяйте целостность внешних скриптов с помощью хешей.
- Мониторинг изменений DOM — отслеживайте несанкционированные модификации DOM и скрытые элементы.
- Установка WAF (Web Application Firewall) — защищайте веб-сайты от подозрительного трафика и нежелательных скриптов.
Эта атака напоминает о том, что даже доверенные веб-ресурсы могут стать жертвами скрытых угроз, особенно при использовании сторонних скриптов. Безопасность требует постоянной бдительности, регулярного аудита и внедрения современных защитных механизмов, чтобы минимизировать риски и сохранить доверие пользователей.
