Подмена кошельков прямо в браузере. Вот как популярная платформа AppsFlyer подставила тысячи сайтов
NewsMakerНеизвестные использовали инфраструктуру сервиса AppsFlyer для атаки на цепочку поставок ПО.
Популярная маркетинговая платформа AppsFlyer неожиданно оказалась в центре истории с вредоносным кодом. Через официальный набор разработчика платформа некоторое время распространяла скрытый перехватчик криптовалютных кошельков . Злоумышленники подменяли адреса для перевода средств прямо в браузере пользователя.
Инцидент обнаружили 9 марта 2026 года специалисты Profero. В ходе проверки был выявлен подозрительный код в веб-версии набора разработчика AppsFlyer. Платформа AppsFlyer служит для анализа маркетинговых кампаний и отслеживания действий пользователей. Разработчики встраивают набор разработчика в приложения и сайты, чтобы понимать, откуда пришёл пользователь и какие действия совершил. Такой код установлен в тысячах сервисов по всему миру.
Во время анализа специалисты обнаружили, что вместо обычного набора разработчика сайт websdk.appsflyer.com выдавал сильно запутанный JavaScript . Код сохранял работу легального набора разработчика, но параллельно добавлял скрытые функции. Вредоносный сценарий следил за действиями на странице, перехватывал сетевые запросы и проверял поля ввода на наличие адресов криптовалютных кошельков.
Если пользователь вводил адрес кошелька для перевода средств, сценарий подменял адрес на кошелёк злоумышленника. При этом исходный адрес и дополнительные данные отправлялись на сервер управления. Такой механизм позволял незаметно перенаправлять криптовалютные переводы.
Популярная маркетинговая платформа AppsFlyer неожиданно оказалась в центре истории с вредоносным кодом. Через официальный набор разработчика платформа некоторое время распространяла скрытый перехватчик криптовалютных кошельков . Злоумышленники подменяли адреса для перевода средств прямо в браузере пользователя.
Инцидент обнаружили 9 марта 2026 года специалисты Profero. В ходе проверки был выявлен подозрительный код в веб-версии набора разработчика AppsFlyer. Платформа AppsFlyer служит для анализа маркетинговых кампаний и отслеживания действий пользователей. Разработчики встраивают набор разработчика в приложения и сайты, чтобы понимать, откуда пришёл пользователь и какие действия совершил. Такой код установлен в тысячах сервисов по всему миру.
Во время анализа специалисты обнаружили, что вместо обычного набора разработчика сайт websdk.appsflyer.com выдавал сильно запутанный JavaScript . Код сохранял работу легального набора разработчика, но параллельно добавлял скрытые функции. Вредоносный сценарий следил за действиями на странице, перехватывал сетевые запросы и проверял поля ввода на наличие адресов криптовалютных кошельков.
Если пользователь вводил адрес кошелька для перевода средств, сценарий подменял адрес на кошелёк злоумышленника. При этом исходный адрес и дополнительные данные отправлялись на сервер управления. Такой механизм позволял незаметно перенаправлять криптовалютные переводы.