世界各地成千上万个主题不同的网站已经
在不知道自己的管理人员和网站访问者的情况下将Monero加密货币
开采了几个小时。 问题是由Texhelp创建的名为
Browsealoud的插件感染了加密矿工。 该插件是为有视力障碍的人设计的,它会自动为那些看不到或看不到但很差的用户从屏幕上读取文本。
该插件被黑客入侵,并且在攻击者下载门罗币加密货币矿工的代码时未知。 矿工是众所周知的-这就是Coinhive,在“加密饼干”中很流行。 昨天,数以千计的带有受感染插件的站点在几个小时内为攻击者赢得了加密货币。 受黑客影响的网站总数达
4200个 。
这些资源包括许多美国政府站点,英国和奥地利政府资源以及其他资源。 Manchester.gov.uk,NHSinform.scot,agricultural.gov.ie,Croydon.gov.uk,ouh.nhs.uk,legacy.qld.gov.au-在这些受矿工感染的站点中,只有一小部分。 网络将两个“干净的”页面都保留在缓存中,
没有矿工 ,也
没有矿工 。 脚本本身仅在用户打开页面时才起作用。 您无法感染您的PC-在这里,此计算正是在各种资源的访问者帮助下进行挖掘的。
有趣的是,嵌入式代码被混淆了,但是保护不是很好。 转换为ASCII后,该脚本将显示其所有秘密。
网络安全顾问Scott Helm首次发现了矿工代码,此后,The Register资源确认了许多站点的感染。 顾问和其他专家建议站点所有者使用一种称为SRI(子资源完整性)的专门技术。 该技术通过注入一些代码来防止恶意用户感染网站。
如果不采取任何措施,那么任何人都不会受到黑客的攻击。 事实是,大量资源使用了插件,扩展,接口和第三方主题。 如果上述任何内容的原始版本包含嵌入式代码,那么它将逐步传播到使用借入元素的所有那些资源。
好吧,SRI使用了代码真实性的验证。 如果出现问题,将不会加载受感染的脚本。
在黑客被人们知道之后,Texthelp宣布已经从其插件中删除了恶意代码,因此现在没有人会遇到问题。 此外,该插件已经受到保护,不会受到当前案例中所使用类型的感染。 因此,将来,可以使用相同的插件而不会出现任何问题(当然,除非有人发现另一个漏洞并加以利用)。
在Twitter上,公司代表说,专家们一发现问题就开始解决问题。 “在调查期间,我们的启动服务已暂时停止。” 该公司还表示,该问题已得到迅速解决,因为Texthelp自去年以来已制定了应对该黑客的计划。 该计划会定期更新并在培训模式下进行测试。
除了解决问题之外,该公司还设法实现了以下事实:用户数据(即插件的用户)没有被盗或丢失。 一切都在原地。
至于矿工本人,并非总是由攻击者安装的。 有时创作者/网站管理员会这样做。 例如,不久前,ThePirateBay跟踪器团队在资源页面上安装了相同的矿机,然后开始将资金发送到“海盗”钱包。 注意到这种情况只是因为第一次(但不是最后一次),当ThePirateBay以这种方式进行操作时,该矿工消耗了大量用户PC资源,因此过程非常缓慢。