В результате серьезной атаки на цепочку поставок был скомпрометирован широко используемый веб-пакет разработки (SDK) AppsFlyer, в который был внедрен вредоносный код JavaScript, предназначенный для кражи криптовалюты у ничего не подозревающих пользователей. Атака, обнаруженная исследователями кибербезопасности компании Profero, заключалась в том, что официальный домен 'websdk.appsflyer.com' распространял обфусцированный код, контролируемый злоумышленником. Этот код функционировал как сложный веб-скиммер, специально нацеленный на криптовалютные транзакции путем перехвата адресов кошельков, вводимых на веб-сайтах, и их незаметной замены на адреса, контролируемые злоумышленником, что приводило к прямому переводу средств на кошелек атакующего.
Масштабы этого нарушения исключительно широки из-за центральной роли AppsFlyer в экосистеме цифрового маркетинга. Будучи ведущим партнером по измерению мобильных данных (MMP), SDK AppsFlyer интегрирован в более чем 100 000 мобильных и веб-приложений, используемых примерно 15 000 компаний по всему миру. Инцидент подчеркивает катастрофические последствия, которые могут возникнуть из-за единой точки отказа в критической цепочке поставок программного обеспечения.
Хотя исследователи Profero подтвердили доставку вредоносной нагрузки, ключевые детали атаки остаются неясными. Полный масштаб, точная продолжительность и основная причина компрометации еще не проверены. Официальные заявления AppsFlyer были ограничены; на странице состояния компании было отмечено только «проблема с доступностью домена» 10 марта 2026 года, без явного подтверждения инцидента безопасности. Это несоответствие между выводами внешних исследователей и публичными заявлениями поставщика подчеркивает проблемы прозрачности и своевременного раскрытия информации во время активных угроз цепочке поставок.
Эта атака представляет собой опасную эволюцию в целевых атаках на наборы средств разработки (SDK) и сторонние скрипты, которые являются доверенными компонентами, встроенными в современный интернет. Организации, полагающиеся на такой внешний код, должны внедрять надежные меры безопасности, включая проверки целостности подресурсов (SRI), политики безопасности контента (CSP) и постоянный мониторинг аномального поведения сторонних активов. Для конечных пользователей этот инцидент является stark напоминанием о рисках, присущих криптовалютным транзакциям, и о важности двойной проверки адресов получателей, даже на законных и знакомых веб-сайтах.
