你的電腦正在幫人挖幣致富？小心別成為挖礦劫持的受害者……

2017 年 9 月，有人在盜版下載種子站「海盜灣」(The Pirate Bay) 上發現了數字加密貨幣的挖礦程序。當用戶訪問海盜灣的網頁時，他們的電腦實際上成為了礦機，挖掘著一種名叫 Monero 的數字貨幣。

此事發酵後，海盜灣的管理員出面認了罪。他們指出，網站需要生存，他們在「測試」這種新的收入方式，因為網站上堆積如山的廣告已經備受詬病。

這種劫持事件，在過去一年裡曾經多次發生。遺憾的是，並非每次都有人出來認錯。

就在這周，有人報告稱，居然在 YouTube 的網頁上發現了同樣的挖礦程序……這次問題出在了廣告上。在 YouTube 網頁的右上角位置，視頻播放控制項的右側、推薦視頻的上方，展示的是來自於 Google DoubleClick 廣告平台的廣告。涉事的廣告上沒有內容，一片空白，顯得十分蹊蹺。

調查後研究人員發現，這個廣告里的 JavaScript 代碼里，包含了一段挖礦腳本。

至於這次 YouTube 事件里，挖的又是哪款數字貨幣呢？很巧，又是 Monero。

這種劫持技術，被安全專家稱為：

Cryptojacking

首先我們來了解一下，Cryptojacking 到底是什麼東西

Cryptojacking=Cryptocurrency（數字加密貨幣）+Hijacking（劫持）

它的字面意義是劫持數字貨幣，實際意義則是劫持用戶的設備，利用 CPU 或其他處理器進行挖礦，因而可以叫做：挖礦劫持。

它的定義：在受害者不知情的前提下，使用受害者的計算設備來挖取數字貨幣。

很多流行的數字貨幣，比如比特幣 (BTC)、以太坊 (ETH) 等，在市場上都有著較高的價值。但它們本質上只是符合某種特定數學公式或規律的欄位，發現它需要使用計算資源，也就有了所謂的「挖礦」。如果購買市面上已經挖出的數字貨幣需要付錢，挖出新的數字貨幣則可以稱得上憑空印鈔。

但挖礦並不是一件容易的事。按照原始設計，符合某個特定規律的欄位數量是有限的，意味著可以挖出的數字貨幣也是有限的。誰有更多的算力，囤積了更多的 CPU、GPU，誰才能更快挖出更多數字貨幣。而問題在於，不是每個人都擁有一座位於偏遠山區享受廉價電費的「礦場」。

這也是為什麼一些別有用心之人想出了挖礦劫持這個主意：讓挖礦變成一個眾包的任務，用網頁偷跑挖礦程序，每個中招的人都貢獻一點 CPU，不就成了自己的礦場。

Cryptojacking 能夠實現的原因在於：它可能只是一段，一行或幾行 JavaScript 代碼。

而幾乎所有的網站網頁都有 JavaScript 代碼，它們在你打開網頁後自動靜默運行，沒有提示，不需要安裝，更不需要你的同意。

一旦中招，普通的用戶通常很難察覺——除非你平時一直開著任務管理器，發現 CPU 佔用率突然升高，或者你的電腦有風扇，突然開始狂轉，才可能發現蹊蹺。

應用內劫持也是一種挖礦劫持方法，包括並不限於桌面軟體和手機應用。比如，有研究者發現，在 Google Play 上有不少下載量過百萬的 App 內包含挖礦劫持。

由於 JavaScript 的通用以及靜默運行的特性，瀏覽器內挖礦劫持是目前最流行的挖礦劫持方式。2017 年 11 月，安全研究員 Troy Mursch 分析了海量網站，發現全網已經有超過 30,000 個網站內已經被植入了挖礦劫持代碼——包括網站本身被黑客劫持（像 YouTube），以及網站主有意為之（像海盜灣）。

如果你也發現了類似的網站，而且是你經常訪問的網站——請考慮刪除你的用戶信息。因為 de Groot 還發現，這些網站中有八成本身就含有其他的惡意代碼/軟體，可能竊取用戶的付款信息。

了解了 Cryptojacking 的本質後，我們接下來分析：誰是挖礦劫持的幕後黑手？

硅星人（微信號：guixingren123）統計，包括海盜灣、YouTube 等在內的幾次比較知名的挖礦劫持事件，涉事的數字貨幣都是 Monero (XMR)。

根據其網站，Monero（縮寫 XMR）是一種安全、隱私和無法追蹤的數字加密貨幣，開源，並且任何人都可以獲取和使用。

按照美元對價計算的市值，XMR 在所有數字貨幣中排名第 13。本周，暗網領先的電商網站 Dream Market 已經全面啟用 XMR 作為推薦的支付方式。其網站還提到，通過 XMR 進行的交易都將完全保密，外界無法查看。正是由於隱私和無法追蹤的特性，XMR 才備受挖礦劫持者的青睞。

看完了數字貨幣，我們再來看實現路徑。

安全研究員指出，在絕大多數挖礦劫持事件中，都能發現來自 Coinhive 的代碼。

如果你一定要給 Coinhive 一個中立的、技術的定義：它是一個分散式挖礦服務的供應商。但大部分計算機安全人士都認為 Coinhive 是一種惡意軟體 (malware)。

計安分析機構 Trend Micro 在去年 11 月將 Coinhive 評為全球第六大惡意軟體。發生在去年 9 月的海盜灣事件，正值 Coinhive 正式推出第一代分散式數字貨幣挖掘服務（以下簡稱 Coinhive），也成為了它的成名之作。

然而最初，Coinhive 的開發者聲稱的作用，卻是為網站主創收。網頁中植入 Coinhive 代碼，訪客打開網頁後，每秒可以進行 20 或更多次哈希計算。越多訪客訪問網頁，挖到的 XMR 越多，為網站主帶來更多的收入，取代在線廣告存在的地位。

Coinhive 的網站上明確寫下了一些文字，簡單來說：如果植入的只是個人網站，每天流量極小的話，那麼為網站主帶來的收入只會是微乎其微的，網站必須有「可觀」的用戶量才會產生靠譜的收入；另外，這些植入了腳本的網頁，在用戶的瀏覽器中打開時間越長，挖礦的總體效果越好。

腦筋活絡的黑客盯上 YouTube 的原因也正是在此：YouTube 每天都有著數以億計的訪問量，且一個視頻時長几分鐘到數十分鐘。YouTube 用戶停留在網頁上的時間，遠比用戶瀏覽一個電商產品頁面或者新聞網站、博客頁面要長，挖礦的效果要好得多。

在這起事件中，廣告中的 JavaScript 代碼植入了 Coinhive 挖礦指令，這些廣告被餵給了日本、法國、義大利、西班牙和台灣等國家和地區的用戶，儘管不是全平台，而且不是這些國家所有用戶都有機會看到，但訪問量仍十分驚人。

相信黑客做過計算，最後通過挖礦得到的收入，能夠彌補投放這些廣告的支出……抑或他只是想玩票，試一下這樣做的可行性。挖礦得出的 XMR，Coinhive 抽三成，網站主得七成。據估算，如果網站有 10-20 個「活躍用戶」，不停地挖一個月，網站主的月收入也才 0.3 個 XMR，或約 100 美元。

總的來說，通過植入挖礦劫持代碼營收，對於網站主來說風險高，收益也沒想像的那麼多。小網站主賺不到錢，大網站主做了一旦被發現面臨著信任破產用戶流失，不是一件經濟的事。獨立開發者 Maxence Cornet 曾經做過一個測試，一個日均 1000 獨立訪客，每人每 session 50 秒左右的網站，在 60 個小時內產生了 0.00947 個 XMR，摺合每天 36 美分，連一個漢堡都買不了。

但對於 Coinhive 來說，每個網站主的每個網頁都可以抽三成，如果真的有 30,000 個網站，甚至更多的網站的海量網頁在挖礦，為 Coinhive 開發者帶來的收入倒是十分可觀。

也就是說，挖礦劫持整件事，壓根和為用戶創收沒有關係，更像是 Coinhive 編造，偽裝在獎勵網站主的外衣下，實際上動用數萬個奴隸主從更多奴隸的身上賺錢的謊言。

安全研究員 Troy Mursch 指出，Coinhive 已經成為了網路犯罪分子的最新收入來源，「我覺得 Coinhive 當真是個挺不錯的主義。它本來應該是一種網站營利的新方式。但現在，我們可以看到它已經被濫用了。這就是惡意軟體。

如果你關注數字貨幣和區塊鏈，可能經常訪問國內外相關的交易所、資訊新聞站、新幣發行網站等等。事實上，身為所謂的「幣圈」、「鏈圈」人士的你，正是挖礦劫持最有可能的潛在受害者。

既然挖礦劫持是一件壞事，既然 Coinhive 是一款惡意軟體，接下來的問題很顯然：我們該怎樣防範它？

硅星人為你帶來以下幾種方法：

01

風扇狂轉

顯然，風扇轉速暴增是 CPU 利用率提高的一個表象。如果你的風扇突然狂轉，可以繼續。

02

查看 CPU 利用率

觀察 CPU 佔用是發現潛在挖礦劫持最容易的方法。在 PC 上打開任務管理器，點擊性能；在 Mac 上打開自帶的活動監視器 (Activity Tracker)，就可以看到 CPU 佔用情況了。

如果某個瀏覽器/瀏覽器標籤佔用了大量 CPU，而你清楚沒有打開一個很重型的網頁，那麼你可能中招了。但有的腳本不會將 CPU 推到太高，比如，其中 0.5 即為 CPU 佔用率，此時觀察就不管用了。

如果你不確定是否遭遇了挖礦劫持，請繼續下一步檢查

03

查找相應代碼

採用 Coinhive 服務進行挖礦劫持的網頁，會留下清晰的腳印。如果在一個正常的網站的網頁里找到了 Coinhive 的字樣，這個網站八成有鬼。

代碼可能長得像下面這樣：

var miner = new CoinHive.Anonymous("B4ShXfNHJy3nEDclHBuc5i2bKJ3Sok8P");

miner.start();

你也可能會遇到腳本來源不是 Coinhive 的情況，所以也可以觀察會不會有

B4ShXfNHJy3nEDclHBuc5i2bKJ3Sok8P

類似這麼一段欄位出現。這就是錢包的地址了。

當然，也不是所有做了挖礦劫持得網站都是壞人。有些良心尚存的網站會彈出明顯的提示，告訴你網站植入了代碼，問你是否同意，如果不同意即不執行，如下：

一旦你確定了挖礦劫持的存在，你可以選擇拒絕執行，或者不再繼續訪問這個網站。但如果你想要確保今後不會再中招，可以安裝挖礦劫持隔離插件

04

主流瀏覽器如 Chrome、Firefox 的插件平台上都已經有了隔離器，如No Coin、minerBlock 等。這些插件可以屏蔽 Coinhive 等目前已知的挖礦腳本來源的域名，理論上不影響你所瀏覽網頁的其他功能。

05

時刻保持警惕

自從首個挖礦劫持腳本出現，已經有很多網站淪陷了，其中不乏知名網站和大公司的官網。除了海盜灣，還有星巴克 (Starbucks.com)、無限制格鬥 (UFC.com) 等，就連 YouTube 都因為 Google 廣告平台的漏洞而失守。

你需要保持警惕，因為任何一個網站都可能被利用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！