恶意挖矿脚本Coinhive大举入侵，400多家政企网站受波及

Posted 2021-04-29 乾冠信息安全沙龙

安全研究人员 特洛伊·穆斯克（Troy Mursch）近日发布了一份新报告，详细描述了 虚拟货币挖矿代码 Coinhive 悄无声息地入侵大量可信赖网站的过程。穆斯克最近发现 Coinhive 代码运行在近 400 个网站上，其中包括属于圣迭戈动物园、联想集团以及美国全国劳资关系委员会的网站。

值得关注的是，这一名单中包括大量政府和教育部门的官方网站，其中包括总检察官办公室平等就业机会委员会（EEOC）、阿勒颇大学以及加州大学洛杉矶分校大气与海洋科学项目的网站。

在受影响的网站中，大部分都由亚马逊托管，而且都位于美国；穆斯克认为这些网站是因为旧版 Drupal 内容管理系统存在漏洞而面临遭攻击的威胁：

通过深入挖掘这个加密劫持行动，我发现在两种情况下，Coinhive 可以通过相同的方法被注入。恶意代码包含在“/misc/jquery.once.js?v=1.2”javascript 库中。此后不久，我得知使用不同有效负载的其他网站也受到攻击。但是，所有被感染的网站都指向一个使用相同 Coinhive 站点密钥的域。

一旦代码不再经过混淆处理，就会清楚地看到它提到“http://vuuwd.com/t.js”。只要访问这个网址，丑陋的真相就被揭示出来。我发现 Coinhive 代码在执行时略微被节流。

#Coinhive found on the website of the San Diego Zoo (@sandiegozoo) in the latest high-profile case of #cryptojacking. pic.twitter.com/B3rd2Q5uVA

— Bad Packets Report (@bad_packets) May 4, 2018

Coinhive 是一个 JavaScript 程序，通过网络浏览器在后台挖掘名为门罗币（Monero）的加密货币。虽然 Coinhive 从本质上并不是恶意软件，但可以通过“加密劫持 ”的攻击手段被注入到可信赖的代码中，迫使其挖掘门罗币，而受害者却浑然不知。