Злоумышленники внедрили вредоносные программы, создающие скрытые ссылки в DOM (Document Object Model), которые перенаправляют пользователей на сторонние ресурсы. Атака была выявлена 20 января 2025 года, но по состоянию на 22 января ни одна система обнаружения угроз не заметила её, пишет Securitylab.
По данным компании c/side, основным способом атаки является использование методов «чёрной» SEO-оптимизации. Вредоносные ссылки, внедряемые в код, визуально скрываются с помощью CSS. Один из используемых примеров:
style="overflow: auto; position: absolute; height: 0pt; width: 0pt;"
Такой подход позволяет ссылкам оставаться незаметными для пользователей, при этом они индексируются поисковыми системами, повышая рейтинг связанных ресурсов. Скрипты размещаются на домене scriptapi[.]dev, где выявлено несколько их разновидностей, например:
Механизм работы скрипта включает определение местоположения в DOM с помощью метода document.currentScript и внедрение ссылок перед самим тегом <script> с использованием метода insertAdjacentHTML('beforebegin', linksHTML).
Среди пострадавших сайтов — ресурсы, использующие популярные платформы и фреймворки: WordPress 6.7.1, MS ASP.NET, vBulletin, PHP CodeIgniter и даже 1C-Битрикс. Перечень таких сайтов можно найти на платформах PublicWWW и URLScan .
Эта атака подчёркивает растущие риски цепочки поставок в веб-разработке. Использование сторонних скриптов делает веб-сайты уязвимыми для подобных атак, поскольку они имеют прямой доступ к DOM и могут выполнять любые действия в браузере пользователя.
Рекомендации по защите для администраторов веб-ресурсов:
Эта атака напоминает о том, что даже доверенные веб-ресурсы могут стать жертвами скрытых угроз, особенно при использовании сторонних скриптов. Безопасность требует постоянной бдительности, регулярного аудита и внедрения современных защитных механизмов, чтобы минимизировать риски и сохранить доверие пользователей.