【安全资讯】AppsFlyer Web SDK遭劫持，恶意代码窃取加密货币

概要：

在数字营销分析领域，第三方SDK的广泛集成带来了便利，也引入了供应链攻击的巨大风险。近日，全球领先的移动测量平台AppsFlyer的Web SDK被发现遭恶意代码劫持，攻击者利用其广泛的分发渠道，在用户不知情的情况下窃取加密货币。这一事件凸显了依赖第三方代码库的安全隐患，其影响波及全球数以万计的应用程序和终端用户。

主要内容：

Profero安全研究人员发现，攻击者通过劫持AppsFlyer Web SDK的官方域名（websdk.appsflyer.com），向加载该SDK的网站和应用程序用户分发了经过混淆的恶意JavaScript代码。此次攻击属于典型的供应链攻击，利用了市场对广泛部署的第三方SDK的信任。

恶意代码在保持SDK原有功能的同时，在后台运行时加载并解码混淆字符串，并钩住（hook）浏览器的网络请求。其核心机制是监控网页中加密货币钱包地址的输入活动，当检测到用户输入比特币、以太坊、Solana、Ripple或TRON等主流加密货币地址时，便将其替换为攻击者控制的地址，从而将资金转移至攻击者账户，同时窃取原始钱包地址及相关元数据。

据分析，此次攻击的影响窗口期大约在UTC时间3月9日22:45至3月11日之间。AppsFlyer官方确认在3月10日发现并遏制了一起域名注册商相关事件，导致部分客户网站上的Web SDK暂时暴露于未授权代码之下，但强调移动SDK未受影响，且其系统内的客户数据未被访问。

此次事件是AppsFlyer近期牵涉的第二起安全事件。此前，臭名昭著的黑客组织ShinyHunters曾声称利用该SDK对Match Group实施了供应链攻击，窃取了超过1000万条用户记录。这连续的事件为广泛依赖第三方SDK的科技和金融行业敲响了安全警钟。