Los piratas informáticos han violado el servicio de análisis Picreel y el proyecto de código abierto Alpaca Forms y han modificado los archivos JavaScript de la infraestructura de estas dos compañías para incrustar códigos maliciosos en más de 4,600 sitios web, según informaron los investigadores de seguridad.
El ataque está en curso, y los scripts maliciosos aún están activos, en el momento de la publicación de este artículo. Ambos hacks han sido vistos por el fundador de Sanguine Security, Willem de Groot, y confirmados por varios otros investigadores de seguridad.
Picreel es un servicio de análisis que permite a los propietarios de sitios registrar lo que hacen los usuarios y cómo interactúan con un sitio web para analizar los patrones de comportamiento y aumentar las tasas de conversación. Se supone que los clientes de Picreel (propietarios de sitios web) deben insertar un fragmento de código JavaScript en sus sitios para permitir que Picreel haga su trabajo. Es este script que los hackers se han comprometido a agregar código malicioso.
Alpaca Forms es un proyecto de código abierto para crear formularios web. Fue desarrollado inicialmente por el proveedor de CMS empresarial Cloud CMS y de código abierto hace ocho años. Cloud CMS aún proporciona un servicio gratuito de CDN (red de entrega de contenido) para el proyecto. Los piratas informáticos parecen haber violado este CDN administrado por CMS en la Nube y modificado uno de los scripts de Alpaca Form.
ZDNet ha contactado con ambas compañías para hacer comentarios. En un correo electrónico, el responsable de tecnología de Cloud CMS, Michael Uzquiano, le dijo a ZDNet que los piratas informáticos parecían haber comprometido solo un archivo de JavaScript de Alpaca Forms en su CDN, y nada más.
El código malicioso registra todos los datos ingresados dentro de los campos del formulario
Actualmente, se desconoce cómo piratas informáticos violaron Picreel o el CDN de Alpaca Forms de Cloud CMS. En una conversación de Twitter, De Groot le dijo a ZDNet que el hackeo parece haber sido llevado a cabo por el mismo actor de amenazas.
El código malicioso registra todo el contenido que los usuarios ingresan dentro de los campos de formulario y envía la información a un servidor ubicado en Panamá. Esto incluye datos que los usuarios ingresan en las páginas de pago, formularios de contacto y secciones de inicio de sesión.
El código malicioso incluido en el script de Picreel se ha visto en 1.249 sitios web, mientras que el de Alpaca Forms se ha visto en 3.435 dominios.
Cloud CMS ha intervenido y eliminado el CDN que estaba sirviendo el script de Alpaca Forms contaminado. La compañía ahora está investigando el incidente y aclaró que “no ha habido una violación de la seguridad o un problema de seguridad con Cloud CMS, sus clientes o sus productos”. Actualmente, no hay evidencia que sugiera esto, a menos que los clientes de Cloud CMS usen el script de Alpaca Forms para sus sitios por su cuenta.
Ataques en la cadena de suministro, una amenaza creciente para los sitios web
En los últimos dos años, ataques como estos se han vuelto bastante comunes. Conocidos como ataques a la cadena de suministro, los grupos de piratas informáticos se han dado cuenta de que violar los sitios web de alto perfil no es tan simple como parece, y han comenzado a apuntar a las empresas más pequeñas que proporcionan “código secundario” a estos sitios web ya miles de otros.
Se dirigieron a proveedores de widgets de chat, widgets de soporte en vivo, compañías de análisis y más.
Las motivaciones varían según el grupo. Por ejemplo, algunos grupos han pirateado empresas de terceros para implementar scripts de cryptojacking, mientras que otros han utilizado la misma técnica para implementar código especializado que roba solo los datos ingresados en los formularios de pago.
El ataque de hoy es diferente porque es bastante genérico, y se dirige a cada campo de formulario en un sitio web, independientemente de su propósito.