AppsFlyer SDK kompromittiert: Krypto-Stealer infiziert Tausende Webseiten

Ein massiver Supply-Chain-Angriff hat das weit verbreitete Web-SDK von AppsFlyer getroffen. Unbekannte Täter schleusten über die offizielle Infrastruktur des Analyse-Unternehmens einen Crypto-Stealer ein, der Krypto-Transaktionen umleitete. Tausende Webseiten waren betroffen.

Wie der Angriff auf die Software-Lieferkette ablief

Laut Sicherheitsforschern von Profero begann die Kompromittierung am Abend des 9. März. Die Angreifer nutzten die offizielle Domain von AppsFlyer, um eine manipulierte Version des Web-SDKs auszuliefern. Dieses Tool nutzen etwa 15.000 Unternehmen für über 100.000 Anwendungen.

Der aktuelle Angriff auf AppsFlyer unterstreicht, warum 73% der deutschen Unternehmen laut Experten nicht ausreichend auf komplexe Cyberattacken vorbereitet sind. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen Maßnahmen effektiv schützen können. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Das Tückische: Webseitenbetreiber mussten ihren eigenen Code nicht ändern. Der schädliche JavaScript-Code wurde automatisch an alle Besucher der betroffenen Seiten ausgeliefert. Das Zeitfenster der direkten Bedrohung dauerte bis zum 11. März an.

So funktionierte der heimliche Diebstahl

Der eingeschleuste Code war hochgradig verschleiert, um keine Aufmerksamkeit zu erregen. Im Hintergrund überwachte er jedoch den gesamten HTTP-Verkehr im Browser. Die Malware suchte gezielt nach Eingabefeldern für Krypto-Wallets.

Sobald ein Nutzer eine Adresse für Bitcoin, Ethereum oder andere Netzwerke eingab, griff der Stealer ein. Er ersetzte die legitime Zieladresse in Echtzeit durch eine Adresse der Angreifer. Die ursprünglichen Daten wurden an die Server der Kriminellen geschickt. Nutzer schickten so ihr Vermögen direkt an die Täter.

AppsFlyer bestätigt den Vorfall – Mobile SDK nicht betroffen

Auf Anfrage bestätigte AppsFlyer einen Vorfall bei einem Domain-Registrar am 10. März. Dieser habe dazu geführt, dass das Web SDK auf einigen Kundenwebseiten vorübergehend unbefugtem Code ausgesetzt war.

Das Unternehmen betont: Das mobile SDK für Smartphone-Apps sei nicht betroffen. Es gebe auch keine Hinweise darauf, dass Kundendaten von den internen AppsFlyer-Systemen entwendet wurden. Betroffene Kunden seien informiert, die Untersuchungen laufen.

Warum Drittanbieter-Skripte ein enormes Risiko sind

Der Vorfall zeigt die Gefahren von externen Skripten. Diese laufen im Browser mit denselben Rechten wie der eigene Code der Webseite. Sie können auf sensible Daten wie Formulareingaben zugreifen, bevor diese den Server erreichen.

Da das schädliche Skript die Fetch-Funktion des Browsers ersetzte, konnte es theoretisch die gesamte Netzwerkkommunikation abfangen. Experten von Feroot Security warnen: Mehr als nur Krypto-Adressen könnten ausgespäht worden sein.

Ein beunruhigender Trend bei Cyberangriffen

Supply-Chain-Angriffe nehmen massiv zu. Angreifer kompromittieren lieber einen zentralen Dienstleister als einzelne Ziele. Für AppsFlyer ist es bereits die zweite sicherheitsrelevante Erwähnung in diesem Jahr.

Solche hochspezialisierten Hacker-Methoden führen aktuell zu Rekordschäden in deutschen Unternehmen und erfordern eine proaktive Abwehrstrategie. Ein exklusiver Experten-Guide liefert Ihnen eine 4-Schritte-Anleitung, um Ihre Organisation wirksam vor modernen Cyber-Angriffen zu schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Besonders der Kryptosektor ist ein lukratives Ziel. Transaktionen sind unwiderruflich – ein Traum für Cyberkriminelle. Dass ein Marketing-Tool zum Werkzeug für Krypto-Diebstahl wurde, zeigt die Kreativität der Täter.

Was Webseitenbetreiber jetzt tun müssen

IT-Teams weltweit prüfen nun ihre Abhängigkeit von externen Skripten. Sicherheitsmechanismen wie Subresource Integrity (SRI) und strikte Content Security Policies (CSP) werden dringender denn je.

Diese Technologien können die Manipulation von Drittanbieter-Ressourcen verhindern. Für Entwickler ist der Vorfall ein deutlicher Weckruf: Die Sicherheit der gesamten Software-Lieferkette muss kontinuierlich überwacht werden.