「洛杉磯時報」網站也中招:被注入加密劫持代碼挖礦
近日,Bad Packets報告公司的研究員Troy Mursch 從美國第三大報紙「洛杉磯時報」的互動式「Homicide報告」網頁上發現了加密劫持代碼,這些代碼悄悄的利用訪客的CPU 挖掘門羅幣。
Mursch指出,目前由Coinhive公司創建的密幣礦機已被刪除。Coinhive向網站提供門羅幣JavaScript礦機,以非傳統方式讓網站內容變現。
Coinhive的JavaScript礦機軟體通常被黑客悄悄的內核到網站中,然後利用網站訪客的手機,平板設備和計算機的CPU處理能力挖掘門羅幣。
礦機被節流攻擊難檢測
Mursch指出,在「洛杉磯時報」的案例中,由於礦機已被節流,因此對訪客產生的影響已減弱而且難以被檢測到。一般而言,加密劫持攻擊不會被節流而且會使用目標100%的CPU挖礦,從而導致受害者的手機或計算機因處理器負荷過重而出現過熱的情況。
Mursch指出,「訪客CPU所受的影響大小因節流規模的不同而不同。在洛杉磯時報網站的案例中,因為礦機被節流到很低,因此一般用戶很可能根本意識不到礦機在後台運行」。
這種節流方法似乎已奏效,加密劫持代碼也隱藏了一段時間.Mursch認為JavaScript加密劫持代碼至少從2月9日起就被隱藏到了網站上。
Mursch指出,當時他在調查洛杉磯時報的亞馬遜AWS S3存儲桶配置不當問題。由於AWS S3存儲桶配置不當,導致任何人都能將代碼寫入伺服器和「自殺報告」網站中。
「洛杉磯時報」尚未就此事置評。
Mursch表示已通過郵件將加密劫持惡意軟體事件告知「洛杉磯時報」並建議後者儘快將其刪除。
挖礦軟體曾劫持政府站點
Mursch指出,這款Coinhive密幣挖礦軟體此前多次曾被秘密用於英國和美國政府網站及其它新聞媒體網站上。本周初,來自RedLock公司的研究人員指出,特斯拉也受密幣挖礦攻擊,當時配置不當的亞馬遜S3存儲桶導致受害者將密幣挖礦惡意軟體植入特斯拉的雲環境中.Mursch表示,沒有人知道背後黑手是誰,儘管Coinhive聲稱已終止該軟體。
「在洛杉磯時報等案例中,最容易的預防方法是確保自己的雲服務如AWS得到正確的保護。」在洛杉磯時報的「應該對這種類型的攻擊,Mursch建議企業正確保護雲服務的安全和監控所有服務。案例中,似乎任何人都可以在他們的AWS存儲桶中寫入代碼,從而導致攻擊者將加密劫持代碼寫入其中。」
來源:安全客
原創聲明 >>>
本微信公眾號刊載的原創文章,歡迎個人轉發。未經授權,其他媒體、微信公眾號和網站不得轉載。
