Sofistike bir müşteri tarafı JavaScript saldırısı, yüksek profilli hükümet ve üniversite alanları da dahil olmak üzere 500’den fazla web sitesini tehlikeye attı.
Belge nesnesi modeline (DOM) gizli bağlantılar enjekte eden kötü amaçlı kampanyanın, arama motoru sıralamalarını manipüle etmek için siyah şapka arama motoru optimizasyonu (SEO) çabasının bir parçası olduğuna inanılıyor.
CISTER araştırmacılarına göre saldırı, alanda scriptapi’de barındırılan javascript enjeksiyonunu içeriyor[.]Dev. Komut dosyaları, harici web sitelerine işaret eden görünmez bağlantılar oluşturur ve bu harici sitelerin SEO değerini artırmak için saygın alanlardan yararlanır.
Bu bağlantılar, kullanıcılardan gizli kalmak için CSS kullanılarak şekillendirilmiştir:
Kötü amaçlı komut dosyaları aşağıdakiler dahil olmak üzere birden çok uç noktaya dağıtılır:
- Scrippi[.]Dev/API/SMACR[.]JS
- Scrippi[.]dev/api/tr[.]tlu[.]JS
- Scrippi[.]Dev/api/sen[.]tlu[.]JS
- Scrippi[.]dev/api/ppymca[.]JS
- Scrippi[.]Dev/API/PBSGC[.]JS
- Scrippi[.]Dev / API / Macera[.]JS
- Scrippi[.]Dev/API/HarvardPress[.]JS
- Scrippi[.]Dev/API/Krachelart[.]JS
- Scrippi[.]Dev/API/Malagaadventures[.]JS
C/taraf araştırmacıları kötü amaçlı alan adını 20 Ocak 2025’te belirlediler, ancak henüz hiçbir büyük tehdit yemini işaretlemedi.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Teknik mekanizma
Saldırı iki ana adımda çalışır:
- Komut Dosyası Konumu Alın: Document.Currentscript kullanarak, komut dosyası DOM’daki konumunu tanımlar.
- Gizli Bağlantılar Enjekte: DOM’daki komut dosyası etiketinden hemen önce gizli bağlantılar eklemek için insertAdjacentHtml (‘ÖncedenBegin,’ LinkShtml) yöntemini kullanır.
Bu gizli bağlantılar, SEO değerini kullanıcı görünürlüğü veya farkındalığı olmadan harici sitelere bağlayan arama motorları tarafından dizine eklenir.
Etki kapsamı
Saldırı, çeşitli çerçeveler kullanan ve geniş uygulanabilirliğini vurgulayan çok çeşitli web sitelerini hedefliyor. Etkilenen platformlar şunları içerir:
- WordPress 6.7.1
- MS ASP.NET
- Vbultin
- PHP Codeigniter
- 1C-Bitrix
Bu tür saldırılara karşı korumak için kuruluşlar güçlü güvenlik önlemleri uygulamalıdır:
- İçerik Güvenliği Politikası (CSP): Komut dosyası kaynaklarını CSP başlıklarını kullanarak güvenilir alanlarla sınırlayın.
- Alt kaynak bütünlüğü (SRI): Kriptografik karmalar yoluyla harici olarak barındırılan komut dosyalarının bütünlüğünü doğrulamak için SRI kullanın.
- DOM İzleme: Yetkisiz DOM değişikliklerini ve gizli eleman enjeksiyonlarını tespit etmek için araçlar kullanın.
- Üçüncü taraf senaryolarını denetleyin: Yetkisiz değişiklikler veya güvenlik açıkları için bağımlılıkları periyodik olarak gözden geçirin.
- Web Uygulaması Güvenlik Duvarları (WAF): Şüpheli trafiği ve yetkisiz komut dosyası kapanımlarını engellemek için WAF’leri dağıtın.
- CMS platformlarını güncelleyin: Güvenlik açıklarını en aza indirmek için WordPress gibi platformları düzenli olarak güncelleyin ve kullanılmayan eklentileri kaldırın.
Bu JavaScript saldırısı, Black Hat SEO kampanyaları ve Web geliştirmede tedarik zinciri güvenlik açıklarının yarattığı sürekli tehdidi vurgulamaktadır.
Kuruluşlar, dijital varlıklarını bu tür sofistike tehditlere karşı korumak için CSP, SRI ve düzenli denetimler gibi proaktif önlemleri benimsemelidir.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek