ในสัปดาห์นี้ AppsFlyer Web SDK ถูกโจมตีระบบ Temporarily ด้วยการฝังโค้ดที่เป็นอันตรายที่ใช้สำหรับขโมย Crypto ซึ่งถือเป็นการโจมตีแบบ Supply-chain attack
Payload ดังกล่าวสามารถดักจับ Crypto wallet address ที่ผู้ใช้กรอกลงบนเว็บไซต์ และทำการสับเปลี่ยนเป็น Crypto wallet address ของผู้โจมตีเอง เพื่อเปลี่ยนเส้นทางการเงินไปเข้า Wallet ของแฮ็กเกอร์แทน
เนื่องจาก AppsFlyer SDK ถูกนำไปใช้ในแอปพลิเคชันหลายพันแอปเพื่อวิเคราะห์ข้อมูลทางการตลาด ผลกระทบในครั้งนี้จึงขยายวงกว้างไปสู่ผู้ใช้งานเป็นจำนวนมาก
ข้อมูลจาก AppsFlyer ระบุว่า แพลตฟอร์ม SDK ของบริษัทถูกใช้งานโดยธุรกิจกว่า 15,000 แห่งทั่วโลกในแอปพลิเคชันบนมือถือ และเว็บไซต์กว่า 100,000 แอป ถือเป็นหนึ่งใน SDK ประเภท Mobile Measurement Partner (MMP) ชั้นนำ ที่ใช้สำหรับติดตามผลแคมเปญการตลาด และกิจกรรมต่าง ๆ ที่เกิดขึ้นภายในแอป
ข้อสงสัยเกี่ยวกับการถูกโจมตีระบบในครั้งนี้ถูกพบโดยนักวิจัยจากบริษัท Profero ซึ่งยืนยันว่า พบการส่งโค้ด JavaScript ที่ถูกซ่อนไว้ และควบคุมโดยผู้โจมตี ไปยังผู้ใช้งานที่เข้าเยี่ยมชมเว็บไซต์ และแอปพลิเคชันที่มีการเรียกใช้งาน AppsFlyer SDK
ทาง AppsFlyer ยังไม่ได้ออกมายืนยันเหตุการณ์ใด ๆ นอกเหนือจากปัญหาเกี่ยวกับการเข้าถึง Domain ที่ได้ประกาศไว้บนหน้าแสดงสถานะของระบบเมื่อวันที่ 10 มีนาคม 2026
เมื่อวันที่ 9 มีนาคม ทาง Profero พบ Payload ที่ถูกกระจายโดย SDK ผ่านทาง Domain ทางการที่ชื่อว่า ‘websdk.appsflyer.com’ ซึ่งสอดคล้องกับที่มีผู้ใช้งานหลายรายได้รายงานถึงปัญหาลักษณะเดียวกันนี้เข้ามา
ทาง Profero อธิบายว่า "แม้ว่าขอบเขตความเสียหายทั้งหมด, ระยะเวลาที่เกิดเหตุ และต้นตอของเหตุการณ์จะยังไม่ได้รับการยืนยัน แต่พฤติกรรมดังกล่าวได้แสดงให้เห็นว่า แฮ็กเกอร์ใช้ความน่าเชื่อถือของ SDK จาก Third-party ที่มีการใช้งานอย่างแพร่หลาย เพื่อสร้างผลกระทบอย่างต่อเนื่องไปยังเว็บไซต์, แอปพลิเคชัน และผู้ใช้งานได้อย่างไร"
โค้ด JavaScript ที่ถูกฝังเข้ามา ถูกออกแบบมาให้ยังคงรักษาการทำงานตามปกติของ SDK เอาไว้ แต่ในเบื้องหลังนั้น มันจะทำการโหลด และถอดรหัสชุดข้อความที่ถูกซ่อนตัวไว้ ในขณะที่ตัวโปรแกรมกำลังทำงาน และเข้าไปแทรกแซงเพื่อดักจับ Request ที่เชื่อมต่อกับเครือข่ายของเว็บเบราว์เซอร์
มัลแวร์ตัวนี้จะคอยเฝ้าสังเกตหน้าเว็บไซต์เพื่อดูกิจกรรมการกรอก Crypto wallet address เมื่อตรวจพบ Wallet address มันทำการจะสับเปลี่ยนไปเป็น Wallet address ของผู้โจมตีแทน พร้อมกับแอบลักลอบส่งออกข้อมูลของ Wallet address ต้นฉบับ และข้อมูล Metadata ที่เกี่ยวข้องออกไป
Wallet address ที่ตกเป็นเป้าหมายนั้นรวมถึง Bitcoin, Ethereum, Solana, Ripple และ TRON ซึ่งครอบคลุมการทำธุรกรรมของ Crypto กระแสหลักเป็นวงกว้าง
นักวิจัยชี้ให้เห็นว่า ในช่วงเวลาที่มีความเสี่ยงต่อการที่ได้รับผลกระทบน่าจะอยู่ระหว่างวันที่ 9 มีนาคม เวลา 22:45 น. (UTC) ถึงวันที่ 11 มีนาคม โดยยังไม่เป็นที่แน่ชัดว่าการโจมตีระบบในครั้งนี้ส่งผลกระทบต่อผู้ใช้งาน SDK นอกเหนือจากช่วงเวลาดังกล่าวหรือไม่
ทางเว็บไซต์ BleepingComputer ได้ติดต่อไปยัง AppsFlyer เพื่อสอบถามเกี่ยวกับการค้นพบของ Profero ซึ่งโฆษกของบริษัทได้ยืนยันผ่านแถลงการณ์ว่ามีการส่งโค้ดที่ไม่ได้รับอนุญาตผ่านทาง AppsFlyer SDK จริง
"AppsFlyer ได้ตรวจพบ และควบคุมเหตุการณ์ผิดปกติที่เกิดขึ้นกับผู้ให้บริการลงทะเบียน Domain เมื่อวันที่ 10 มีนาคมที่ผ่านมา ซึ่งเหตุการณ์ดังกล่าวส่งผลให้ AppsFlyer Web SDK ที่ทำงานอยู่บนเว็บไซต์ของลูกค้ากลุ่มหนึ่ง ถูกแทรกแซงด้วยโค้ดที่ไม่ได้รับอนุญาตเป็นการชั่วคราว"
AppsFlyer แชร์ข้อมูลให้กับ BleepingComputer ระบุว่า "Mobile SDK ไม่ได้รับผลกระทบแต่อย่างใด และจากการสืบสวนของเราจนถึงขณะนี้ ยังไม่พบหลักฐานว่ามีการเข้าถึงข้อมูลลูกค้าในระบบของ AppsFlyer เราให้ความสำคัญกับเหตุการณ์นี้เป็นอย่างยิ่ง และได้ติดต่อสื่อสารกับลูกค้าอย่างต่อเนื่อง"
ทางผู้ให้บริการระบุว่าปัญหาได้รับการแก้ไขเรียบร้อยแล้ว และลูกค้าของ AppsFlyer ได้รับการติดต่อโดยตรงพร้อมรับทราบการอัปเดตเกี่ยวกับเหตุการณ์ดังกล่าว
โฆษกของ AppsFlyer ระบุว่า "Mobile SDK ยังคงปลอดภัยในการใช้งานตลอดช่วงเวลาที่เกิดเหตุ และ Web SDK ก็ปลอดภัยพร้อมใช้งานแล้วเช่นกัน"
AppsFlyer ระบุเพิ่มเติมว่า การสืบสวนยังคงดำเนินต่อไป โดยกำลังทำงานร่วมกับผู้เชี่ยวชาญด้าน Forensic experts จากภายนอก และจะมีการเปิดเผยข้อมูลเพิ่มเติมหลังจากที่การสืบสวนเสร็จสิ้น
เนื่องจากยังไม่มีความชัดเจนเกี่ยวกับสาเหตุที่แท้จริง และขอบเขตของเหตุการณ์นี้ องค์กรต่าง ๆ ที่มีการติดตั้งใช้งาน SDK ดังกล่าว ควรตรวจสอบบันทึกข้อมูลการทำงานของระบบเพื่อหา API request ที่น่าสงสัยที่มาจาก Domain: websdk[.]appsflyer[.]com พร้อมทั้ง Downgrade กลับไปใช้ SDK เวอร์ชันที่ยืนยันแล้วว่าปลอดภัย และสืบสวนหาความเป็นไปได้ที่ระบบอาจถูกแทรกแซง
เมื่อช่วงต้นปีที่ผ่านมา AppsFlyer ก็เคยมีส่วนพัวพันในเหตุการณ์ด้านความปลอดภัยทางไซเบอร์มาแล้วเช่นกัน เมื่อกลุ่มแฮ็กเกอร์ที่ชื่อว่า ShinyHunters อ้างว่าได้ใช้ช่องโหว่จาก SDK ตัวนี้ในการโจมตีระบบแบบ Supply chain attack เข้าเล่นงานบริษัท Match Group โดยขโมยข้อมูลผู้ใช้งานแอปพลิเคชันหาคู่อย่าง Hinge, Match[.]com และ OkCupid ไปกว่า 10 ล้านรายการ
ที่มา : bleepingcomputer
You must be logged in to post a comment.