3500 个网站遭劫持！黑客利用隐匿 JS 与 WebSocket 手段暗中挖掘加密货币

一场新的攻击活动已侵入了全球超过 3500 个网站，植入了 JavaScript 加密货币挖矿程序，标志着曾由 CoinHive 等推动的基于浏览器的加密劫持攻击卷土重来。

虽然此类服务在浏览器制造商采取措施禁止挖矿相关应用和插件后已关闭，但 c/side 的研究人员表示，他们在混淆过的 JavaScript 中发现了隐形挖矿程序的证据。该程序会评估设备的计算能力，并生成后台 Web Worker 线程来并行执行挖矿任务，且不引发任何警报。

更重要的是，该活动被发现利用 WebSocket 从外部服务器获取挖矿任务，以便根据设备能力动态调整挖矿强度，并相应地限制资源消耗以保持隐蔽。

安全研究员 Himanshu Anand 表示：“这是一个隐形挖矿程序，旨在通过保持在用户和安全工具的探测阈值以下来避免被发现。”

这种做法的最终结果是，用户在浏览被入侵网站时会不知不觉地挖掘加密货币，在不知情或未同意的情况下，他们的计算机就变成了隐蔽的加密货币生成机器。目前尚不清楚这些网站是如何被攻破以促成浏览器内挖矿的。

进一步分析已确定超过 3500 个网站被卷入这场大规模的非法加密挖矿活动中。托管该 JavaScript 挖矿程序的域名过去还与 Magecart 信用卡盗刷工具有关联，这表明攻击者试图使其攻击载荷和收入来源多样化。

使用相同域名来传送挖矿程序和信用卡/借记卡数据窃取脚本，表明威胁行为者有能力将 JavaScript 武器化，并针对毫无戒心的网站访问者发动投机性攻击。

c/side 表示：“攻击者现在优先考虑隐蔽性而非蛮力式的资源窃取，使用混淆、WebSocket 和基础设施重用以保持隐藏。目标不是瞬间耗尽设备资源，而是长期持续地汲取资源，如同数字吸血鬼。”

这一发现恰逢一起针对东亚电子商务网站的 Magecart 盗刷活动，该活动利用 OpenCart 内容管理系统（CMS），在结账时注入虚假支付表单，并从受害者那里收集包括银行信息在内的财务信息。窃取到的信息随后被外传到攻击者的服务器。

近几周，发现的客户端和网站定向攻击呈现出多种形式：

• 滥用与合法 Google OAuth 端点（“accounts.google[.]com/o/oauth2/revoke”）关联的回调参数的 JavaScript 嵌入代码，重定向至一个混淆的 JavaScript 攻击载荷，该载荷会创建指向攻击者控制域名的恶意 WebSocket 连接。
• 使用直接注入 WordPress 数据库（即 wp_options 和 wp_posts 表）的 Google Tag Manager (GTM) 脚本，以加载远程 JavaScript，将访问超过 200 个网站的访客重定向至垃圾广告域名。
• 破坏 WordPress 站点的 wp-settings.php 文件，使其直接从 ZIP 存档中引入恶意 PHP 脚本，该脚本连接到命令与控制（C2）服务器，并最终利用网站的搜索引擎排名注入垃圾内容，提升其可疑网站在搜索结果中的位置。
• 将恶意代码注入 WordPress 站点主题的页脚 PHP 脚本以实现浏览器重定向。
• 使用一个以受感染域名命名的虚假 WordPress 插件来逃避检测，并仅在检测到搜索引擎爬虫时启动，以提供旨在操控搜索引擎结果的垃圾内容。
• 在供应链攻击中，通过官方下载页面分发后门版本的 WordPress 插件 Gravity Forms（仅影响 2.9.11.1 和 2.9.12 版）。该后门插件会联系外部服务器获取额外攻击载荷，并添加一个管理员账户，使攻击者能完全控制网站。

Gravity Forms 开发团队 RocketGenius 表示：“如果安装，恶意代码修改将阻止更新该包的尝试，并试图联系外部服务器下载额外攻击载荷。”

“如果该载荷成功执行，它将尝试添加一个管理员账户。这将打开一个后门，导致一系列其他可能的恶意操作，例如扩大远程访问、额外的未经授权的任意代码注入、操控现有管理员账户以及访问存储的 WordPress 数据。”

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；