На более чем 500 правительственных и университетских веб-сайтах по всему миру обнаружена новая атака с использованием JavaScript. Злоумышленники внедрили вредоносные скрипты, создающие скрытые ссылки в DOM (Document Object Model), которые перенаправляют пользователей на сторонние ресурсы. Атака была выявлена 20 января 2025 года, но по состоянию на 22 января ни одна система обнаружения угроз не зафиксировала эту активность.
По данным компании c/side, целью атаки является использование методов “чёрной” SEO-оптимизации. Вредоносные ссылки, внедряемые в код, визуально скрываются с помощью CSS. Один из примеров используемого стиля:
Такой подход позволяет ссылкам оставаться незаметными для пользователей, при этом они индексируются поисковыми системами, повышая рейтинг связанных ресурсов. Скрипты размещаются на домене scriptapi[.]dev, где выявлено несколько их разновидностей, например:
- scriptapi[.]dev/api/smacr[.]js
- scriptapi[.]dev/api/en[.]tlu[.]js
- scriptapi[.]dev/api/harvardpress[.]js
Механизм работы скрипта включает определение местоположения в DOM с помощью метода document.currentScript и внедрение ссылок перед самим тегом
Среди пострадавших сайтов – ресурсы, использующие популярные платформы и фреймворки: WordPress 6.7.1, MS ASP.NET, vBulletin, PHP CodeIgniter и даже 1C-Битрикс. Перечень таких сайтов можно найти на платформах PublicWWWи URLScan .
Эта атака подчёркивает растущие риски цепочки поставок в веб-разработке. Использование сторонних скриптов делает веб-сайты уязвимыми для подобных атак, поскольку они имеют прямой доступ к DOM и могут выполнять любые действия в браузере пользователя.
Рекомендации по защите для администраторов веб-ресурсов:
- Обновление и аудит плагинов – проверьте используемые плагины, удалите неиспользуемые и убедитесь в их актуальности.
- Реализация CSP (Content Security Policy) – ограничьте включение сторонних скриптов только доверенными доменами.
- Использование SRI (Subresource Integrity) – проверяйте целостность внешних скриптов с помощью хешей.
- Мониторинг изменений DOM – отслеживайте несанкционированные модификации DOM и скрытые элементы.
- Установка WAF (Web Application Firewall) – защищайте веб-сайты от подозрительного трафика и нежелательных скриптов.
Эта атака напоминает о том, что даже доверенные веб-ресурсы могут стать жертвами скрытых угроз, особенно при использовании сторонних скриптов. Безопасность требует постоянной бдительности, регулярного аудита и внедрения современных защитных механизмов, чтобы минимизировать риски и сохранить доверие пользователей.