Реклама. 18+. Рекламодатель ООО "ЮЗЕРГЕЙТ", ИНН 5408308256, erid:2SDnjebHh8M
Image

UserGate Open Conf 2026

Соберём 3000+ экспертов ИБ в одном месте. Роадмапы, лабы, нагрузочные тестирования и анонсы двух новых продуктов. Регистрация открыта!

Подмена кошельков прямо в браузере. Вот как популярная платформа AppsFlyer подставила тысячи сайтов

leer en español

AppsFlyer Profero криптовалюта ShinyHunters взлом
Подмена кошельков прямо в браузере. Вот как популярная платформа AppsFlyer подставила тысячи сайтов
AppsFlyer Profero криптовалюта ShinyHunters взлом

Неизвестные использовали инфраструктуру сервиса AppsFlyer для атаки на цепочку поставок ПО.

image

Популярная маркетинговая платформа AppsFlyer неожиданно оказалась в центре истории с вредоносным кодом. Через официальный набор разработчика платформа некоторое время распространяла скрытый перехватчик криптовалютных кошельков. Злоумышленники подменяли адреса для перевода средств прямо в браузере пользователя.

Инцидент обнаружили 9 марта 2026 года специалисты Profero. В ходе проверки был выявлен подозрительный код в веб-версии набора разработчика AppsFlyer. Платформа AppsFlyer служит для анализа маркетинговых кампаний и отслеживания действий пользователей. Разработчики встраивают набор разработчика в приложения и сайты, чтобы понимать, откуда пришёл пользователь и какие действия совершил. Такой код установлен в тысячах сервисов по всему миру.

Во время анализа специалисты обнаружили, что вместо обычного набора разработчика сайт websdk.appsflyer.com выдавал сильно запутанный JavaScript. Код сохранял работу легального набора разработчика, но параллельно добавлял скрытые функции. Вредоносный сценарий следил за действиями на странице, перехватывал сетевые запросы и проверял поля ввода на наличие адресов криптовалютных кошельков.

Если пользователь вводил адрес кошелька для перевода средств, сценарий подменял адрес на кошелёк злоумышленника. При этом исходный адрес и дополнительные данные отправлялись на сервер управления. Такой механизм позволял незаметно перенаправлять криптовалютные переводы.

Вредоносный код умел работать с несколькими популярными криптовалютами. Среди них Bitcoin, Ethereum, Solana, Ripple и TRON. Внутри сценария нашли заранее прописанные адреса кошельков злоумышленников. Код также обращался к удалённому серверу и мог получать новые адреса, чтобы менять их со временем и усложнять блокировку.

Опасность ситуации усиливает способ распространения вредоносного кода. Сценарий загружался с официального домена AppsFlyer, которому обычно доверяют разработчики и системы безопасности. Поэтому случившееся можно рассматривать как атаку на цепочку поставок программного обеспечения. Под угрозой могли оказаться компании, использующие веб-версию набора разработчика, а также пользователи сайтов и сервисов, где работал такой код.

По имеющимся данным, вредоносный сценарий распространялся примерно с 9 марта около 22:45 по всемирному времени до 11 марта. Организациям рекомендуют проверить журналы сетевых подключений к домену websdk.appsflyer.com и убедиться, что в указанный период загружалась корректная версия набора разработчика.

Официального подтверждения взлома от AppsFlyer пока нет. Компания сообщила лишь о «проблеме с доступностью сервиса». При этом история вокруг платформы уже появлялась в новостях в начале года. В январе 2026 года группировка ShinyHunters заявила о краже более 10 миллионов записей сервисов знакомств Match Group, включая Hinge, Match.com и OkCupid. В опубликованных заявлениях ShinyHunters называла AppsFlyer источником утечки, однако компания отрицала причастность.