据外媒The Register报道,从英国国家医疗服务体系(NHS)和ICO、到美国政府的法院系统,世界各地数以千计的网站,如今被都在为隐匿的恶棍们秘密地挖掘加密货币。
受影响的网站都使用了一个相当流行的插件——Browsealoud,由Brit biz Text help制作,它也可以为盲人或部分失明者读取网页。
同时,或者被黑客、或者被恶意内部人士篡改了代码,这款技术本身在某种程度上也受到影响,它在提供Browsealoud插件的网页内,悄无声息地植入Coinhive公司的开矿代码。
据雷锋网了解,Coinhive公司是一家隐秘的网络加密现金挖矿商。同样是TheRegister报道称,Coinhive是一家合法机构,据说它将采矿代码嵌入页面,以赚取网站所有者的收入来替代讨厌的广告。然而,这个免费的工具如今已经被滥用了。
其中,采矿软件所在的coinhive.com是第二常被用户屏蔽的域名,已有1.3亿用户表达了他们对这项技术的不屑。
Malwarebytes Labs负责人亚当-库贾瓦(Adam Kujawa)表示:”我们并不认为coinhive.com是恶意的,甚至不一定是个坏主意……允许人们选择广告替代品的概念是一个崇高的概念。从虚假新闻到令人眩晕的广告,这种观念是一个崇高的概念。它的执行却是另一回事。"
接上文所述,任何一个访问了插入Browsealoud代码网站的人,都会不经意地在他们电脑上运行这个隐藏的挖矿代码,从而为这个漏洞背后的恶棍们赚钱。
雷锋网发现,全文列出4200多受影响网站——包括纽约市立大学(纽约市立大学)、山姆大叔的法院信息门户(uscourts.gov)、Lund大学(lu.se)、英国学生贷款公司(slc.co.UK)、隐私监管机构——信息专员办公室(ico.org.UK)和金融监察员服务(Financial-Ombudsman)。还有一堆其他很多网站。英国政府、全球各地政府网站、英国国家医疗服务系统和其他组织都在内。
这些恶意代码最初是由总部位于英国的信息安全顾问斯科特-赫尔姆(Scott Helme)首次发现,并得到《登记册》的证实。他建议网站管理员尝试一种叫做SRI-子资源完整性的技术,这种技术可以拦截并阻止黑客向陌生人网站注入恶意代码的企图。
在这个星球上,几乎每个重要网站都有其他公司和组织提供的大量资源,从字体、菜单界面到屏幕阅读器和翻译工具。如果这些外部资源中的任何一个被黑客入侵或篡改,用以执行恶意行为,比如加密货币,那么其他所有依赖这些被破坏资源的网站,最终都会把这些恶意代码拉进自己的页面以及访问者的浏览器中。
是否存有解决方式呢?
SRI子资源完整性技术使用指纹识别来阻止被破坏的JavaScript进入网页。如果一个网络混蛋改变了第三方提供者的源代码,则使用这种签名技术的个别网站会检测并阻止这种更改。
据雷锋网了解,在更多的网站使用这种保护机制之前,像Browsealoud这样的第三方资源供应商将成为罪犯的目标,推广给数千个网络采矿者,甚至更糟。一个混蛋只需要黑进一个供应商,就能有效感染无数其他网页。
幸运的是,这些被注入的代码只是试图偷偷挖矿——一个XMR目前价值238.65美元或172.56英镑——而不是做其他更恶意的事情,比如弹出诈骗广告、窃取密码,、窥探键盘敲击,、或者欺骗人们安装恶意软件。