Популярният инструмент за маркетинг анализи AppsFlyer стана обект на supply-chain атака, при която зловреден код временно е бил инжектиран в Web SDK на платформата. Атаката е позволявала кражба на криптовалути, като е подменяла въведени крипто адреси с такива, контролирани от нападателите.

SDK библиотеката на AppsFlyer се използва от над 15 000 компании по света и е интегрирана в повече от 100 000 мобилни и уеб приложения. Това означава, че потенциално голям брой крайни потребители може да са били изложени на риск.

Как е открита атаката

Инцидентът е открит от изследователи на киберсигурност от Profero, които установяват, че:

• към потребителите се доставя обфускиран JavaScript, контролиран от атакуващите

• кодът се зарежда от официалния домейн websdk.appsflyer.com

• зловредният скрипт се изпълнява във фонов режим, без да нарушава нормалната работа на SDK

Според анализа на Profero, кодът декодира обфускирани низове по време на изпълнение и прихваща мрежови заявки в браузъра, което му позволява да наблюдава активността на страницата.

Как работи зловредният механизъм

След инжектирането на JavaScript, зловредният код:

1. наблюдава страниците за въвеждане на криптовалутни адреси

2. прихваща въведения адрес

3. заменя го с адрес на атакуващия

4. изпраща оригиналния адрес и метаданни към инфраструктурата на нападателите

Атаката е насочена към някои от най-популярните криптовалути:

• Bitcoin

• Ethereum

• Solana

• Ripple

• TRON

Времеви прозорец на компрометирането

Изследователите смятат, че уязвимият период вероятно е бил между:

• 9 март 2026 г., 22:45 UTC

• 11 март 2026 г.

Точният обхват и причината за инцидента все още не са напълно потвърдени.

Официална позиция на AppsFlyer

От AppsFlyer потвърдиха, че е имало инцидент с регистратора на домейни, който е позволил временно доставяне на неоторизиран код чрез Web SDK.

Компанията уточнява:

• Mobile SDK не е бил засегнат

• няма доказателства за достъп до клиентски данни в системите на AppsFlyer

• проблемът вече е отстранен

• клиентите са уведомени директно за инцидента

Разследването продължава съвместно с външни форензик експерти.

Препоръки към организациите

Заради неясния мащаб на инцидента експертите препоръчват организациите, които използват SDK-то:

• да проверят логовете за подозрителни заявки към websdk.appsflyer.com

• да използват проверени версии на SDK

• да анализират възможни компрометирани транзакции

Предишни свързани инциденти

По-рано през 2026 г. известната хакерска група ShinyHunters твърдеше, че е използвала AppsFlyer SDK в друга supply-chain атака, насочена към Match Group, при която са били откраднати над 10 милиона записа от потребители на платформи като Hinge, Match.com и OkCupid.

Инцидентът подчертава сериозния риск от supply-chain атаки, особено когато са насочени към широко използвани SDK библиотеки, интегрирани в хиляди приложения. Компрометирането на един такъв компонент може да засегне масово потребители и организации, дори без те да подозират.