恶意挖矿脚本大举入侵,400 多政企网站受波及

下一篇文章

Google I/O:对话一则

安全研究人员 特洛伊·穆斯克(Troy Mursch)近日发布了一份新报告,详细描述了 虚拟货币挖矿代码 Coinhive 悄无声息地入侵大量可信赖网站的过程。穆斯克最近发现 Coinhive 代码运行在近 400 个网站上,其中包括属于圣迭戈动物园、联想集团以及美国全国劳资关系委员会的网站。点击 这里 ,查看遭劫持的网站完整名单。

值得关注的是,这一名单中包括大量政府和教育部门的官方网站,其中包括总检察官办公室平等就业机会委员会(EEOC)、阿勒颇大学以及加州大学洛杉矶分校大气与海洋科学项目的网站。

在受影响的网站中,大部分都由亚马逊托管,而且都位于美国;穆斯克认为这些网站是因为旧版 Drupal 内容管理系统存在漏洞而面临遭攻击的威胁:

通过深入挖掘这个加密劫持行动,我发现在两种情况下,Coinhive 可以通过相同的方法被注入。恶意代码包含在“/misc/jquery.once.js?v=1.2”JavaScript 库中。此后不久,我得知使用不同有效负载的其他网站也受到攻击。但是,所有被感染的网站都指向一个使用相同 Coinhive 站点密钥的域。

一旦代码不再经过混淆处理,就会清楚地看到它提到“http://vuuwd.com/t.js”。只要访问这个网址,丑陋的真相就被揭示出来。我发现 Coinhive 代码在执行时略微被节流。

Coinhive 是一个 JavaScript 程序,通过网络浏览器在后台挖掘名为门罗币(Monero)的加密货币。虽然 Coinhive 从本质上并不是恶意软件,但可以通过“加密劫持 ”的攻击手段被注入到可信赖的代码中,迫使其挖掘门罗币,而受害者却浑然不知。

题图来源:hocus-focus/Getty Images

翻译:皓岳

Cryptojacking malware was secretly mining Monero on many government and university websites