Hackers hebben JavaScript-bestanden op de infrastructuur van de analytics-service Picreel en het open-sourceproject Alpaca Forms aangepast. De aanvallers zijn erin geslaagd een kwaadwillende code op websites te embedden, aldus ZDnet.
De code is teruggevonden in het Picreel-script van 1.249 websites en in Alpaca formulieren op 3.435 sites, aldus Willem de Groot, oprichter van Sanguine Security. Hett hack werd zondag opgemerkt door De Groot en bevestigd door andere beveiligingsonderzoekers. De schadelijke code registreert naar eigen zeggen alle inhoud die gebruikers invoeren in formuliervelden. Het gaat dan om gegevens op betaalpagina’s, contactformulieren en aanmeldingssecties. Vervolgens verzendt de code de informatie naar een server in Panama.
Nog steeds actueel
Op het moment van schrijven zouden de aanvallen nog gaande zijn en zijn ook de schadelijke scripts nog steeds actueel. De hacks lijken te zijn uitgevoerd door dezelfde aanvaller, aldus De Groot in een reactie aan ZDnet. Al is het tot nu toe onbekend hoe de hackers toegang hebben gekregen tot Picreel of Cloud CMS’s Alpaca Forms Content Delivery Network (CDN). Volgens Michael Uzquiano, CTO van Cloud CMS, zouden de hackers slechts één JavaScript-bestand met Alpaca-formulieren op hun CDN hebben aangetast.
Picreel is een analytische service, waarmee website-eigenaren kunnen vastleggen wat gebruikers doen en hoe ze omgaan met een website. Gedragspatronen kunnen hierdoor worden geanalyseerd en de conversatiegraad worden verhoogd. Website-eigenaren moeten een stuk JavaScript-code insluiten op hun site, zodat Picreel zijn werk kan doen. Hackers hebben dit specifieke script gecompromitteerd om de kwaadaardige code toe te voegen.
Alpaca Forms
Het door Cloud CMS ontwikkelde Alpaca Forms is een open-sourceproject voor het bouwen van webformulieren. Het bedrijf gaf acht jaar geleden de code vrij voor ontwikkelaars en biedt nog steeds een gratis CDN-service voor het project. Hackers lijken dit door Cloud CMS beheerde CDN nu te hebben geschonden en een van de Alpaca Form-scripts te hebben aangepast.
Cloud CMS heeft inmiddels het aangetaste Alpaca Forms-script verwijderd en doet onderzoek naar het incident. “Er is geen beveiligingsprobleem of beveiligingsprobleem opgetreden met , onze klanten of producten. Momenteel zijn er geen aanwijzingen om dit te suggereren, tenzij Cloud CMS-klanten het Alpaca Forms-script alleen voor hun sites gebruikten”, aldus een woordvoerder van Cloud CMS.
Lees ook: Ransomware-aanval treft honderenden Git-broncode-opslagplaatsen