FreeBuf 先前報(bào)道過,分發(fā)挖礦 javascript 的網(wǎng)站 CoinHive 被黑了,而且影響范圍很廣,今天,又有新聞爆出,前端領(lǐng)域經(jīng)久不衰的老牌第三方庫(kù) jQuery 的官方博客也被黑了。
jQuery
今天早些時(shí)候,網(wǎng)名為“n3tr1x” and “str0ng” 的黑客篡改了 jQuery 官方博客(blog.jquery.com)的主頁(yè)。而 jQuery 的官方博客使用的是 WordPress 后臺(tái)內(nèi)容管理系統(tǒng)。我們?cè)诮貓D中可以看到,黑客使用了 Leah Silber (jQuery 核心開發(fā)人員 )的賬號(hào)發(fā)了一篇文章。
The Hacker News表示,現(xiàn)在還沒有證據(jù)表示,存放 jQuery 代碼的服務(wù)器(code.jquery.com) 也被黑客入侵了。但是,這也不是沒有可能的,畢竟用戶量達(dá)百萬(wàn)的 WordPress 以前曝出過嚴(yán)重的 0day 漏洞。
因此,黑客這次有可能不僅僅只是黑了 Silber 的賬號(hào),也許還利用了一些開發(fā)者不熟知的 WordPress 漏洞。
撰寫這篇文章的時(shí)候,這個(gè)頁(yè)面已經(jīng)被 jQuery 官方刪除了。但并未給出官方回復(fù)。
這已經(jīng)不是 jQuery 的網(wǎng)站第一次被黑了。早在 2014 年,jQuery 主站(jQuery.com)就遭受過攻擊,用戶在訪問時(shí)會(huì)被重定向到非法站點(diǎn)。
現(xiàn)在有上百萬(wàn)的網(wǎng)站直接調(diào)用 jQuery 站點(diǎn)上存儲(chǔ)的 jQuery script,代碼受到影響的的話,后果很嚴(yán)重。
CoinHive Hack
CoinHive 是一家為其他網(wǎng)站提供挖礦 JS 腳本的公司,這些腳本可以幫助站長(zhǎng)利用網(wǎng)站訪客的計(jì)算機(jī) CPU進(jìn)行挖礦,代替廣告收入。
上個(gè)月,CoinHive 在我們的視野中出現(xiàn)過一次,網(wǎng)上曝出知名種子站海盜灣利用訪客 CPU 的計(jì)算能力獲取 Monero 虛擬貨幣。
而海盜灣用的就是 CoinHive 提供的挖礦代碼,那要如何定義這些挖礦代碼呢?它們既不是病毒也不是木馬,安全人員認(rèn)為,在用戶不知曉的情況下偷偷利用用戶計(jì)算機(jī)算力進(jìn)行挖礦是不道德的。
本周一(10月23日),黑客拿到了 CoinHive 的 CloudFlare 賬號(hào),改變了網(wǎng)站的 DNS 解析,網(wǎng)站上存放的代碼也動(dòng)了手腳,影響了上千網(wǎng)站。
CoinHive 也寫了一篇博文對(duì)此事做出了回復(fù):
10 月 23 日晚上,我們的 DNS 提供商(Cloudflare)賬戶已經(jīng)被黑客入侵,而其中的 coinhive.com 的 DNS 記錄也已被修改。coinhive.min.js 也已經(jīng)重新定向到別的第三方服務(wù)器文件。
我們?cè)诎踩献龅墓φn還是挺多的,所有的服務(wù)都使用了兩步驗(yàn)證,所有的密碼都是不同的,但我們還是忘記修改兩年前的 Cloudflare 賬戶密碼了。
站點(diǎn)使用挖礦代碼,我們?nèi)绾晤A(yù)防
上文中提到的海盜灣,在發(fā)現(xiàn)偷偷運(yùn)行挖礦代碼之后,也對(duì)此事做出了回應(yīng),表示這只是一次24小時(shí)的替代廣告測(cè)試,并不會(huì)長(zhǎng)久使用。但一個(gè)月之后,該站點(diǎn)又被發(fā)現(xiàn)偷偷使用挖礦代碼,利用用戶計(jì)算機(jī) CPU 計(jì)算能力獲取虛擬貨幣。
后來陸續(xù)發(fā)現(xiàn), CBS ShowTime 旗下的兩個(gè)網(wǎng)站也在使用挖礦代碼,知名游戲 Grand Theft Auto V (GTA 5) video game的一個(gè) Mod 中也發(fā)現(xiàn)了挖礦代碼。
還有報(bào)告表示,黑客在攻擊網(wǎng)站的時(shí)候,會(huì)偷偷在網(wǎng)站代碼中嵌入挖礦代碼。因此,用戶需要對(duì)此保存警惕。
谷歌研究人員對(duì)此表示,Chrome 或會(huì)開發(fā)出新的安全功能,默認(rèn)阻止挖礦代碼的運(yùn)行。此外,用戶還可以使用 Chrome 插件 minerBlock和 No Coin阻止挖礦程序。
京公網(wǎng)安備 11010502049343號(hào)