據(jù)外媒The Register報道，從英國國家醫(yī)療服務體系(NHS)和 ICO、 到美國政府的法院系統(tǒng)，世界各地數(shù)以千計的網(wǎng)站，如今被都在為隱匿的惡棍們秘密地挖掘加密貨幣。

受影響的網(wǎng)站都使用了一個相當流行的插件—— Browsealoud, 由 Brit biz Texthelp 制作, 它也可以為盲人或部分失明者讀取網(wǎng)頁。

同時，或者被黑客、或者被惡意內(nèi)部人士篡改了代碼，這款技術本身在某種程度上也受到影響，它在提供Browsealoud 插件的網(wǎng)頁內(nèi)，悄無聲息地植入 Coinhive公司的開礦代碼。

據(jù)雷鋒網(wǎng)了解， Coinhive公司是一家隱秘的網(wǎng)絡加密現(xiàn)金挖礦商。同樣是The Register報道稱， Coinhive 是一家合法機構，據(jù)說它將采礦代碼嵌入頁面, 以賺取網(wǎng)站所有者的收入來替代討厭的廣告。 然而, 這個免費的工具如今已經(jīng)被濫用了。

其中，采礦軟件所在的 coinhive.com 是第二常被用戶屏蔽的域名, 已有1.3億用戶表達了他們對這項技術的不屑。

Malwarebytes Labs 負責人亞當?庫賈瓦(Adam Kujawa)表示:”我們并不認為 coinhive.com 是惡意的, 甚至不一定是個壞主意……允許人們選擇廣告替代品的概念是一個崇高的概念。從虛假新聞到令人眩暈的廣告, 這種觀念是一個崇高的概念。 它的執(zhí)行卻是另一回事。"

接上文所述，任何一個訪問了插入Browsealoud 代碼網(wǎng)站的人, 都會不經(jīng)意地在他們電腦上運行這個隱藏的挖礦代碼, 從而為這個漏洞背后的惡棍們賺錢。

雷鋒網(wǎng)發(fā)現(xiàn)，全文列出4200多受影響網(wǎng)站——包括紐約市立大學(紐約市立大學)、山姆大叔的法院信息門戶(uscourts.gov)、 Lund 大學(lu.se)、英國學生貸款公司(slc.co.UK)、隱私監(jiān)管機構——信息專員辦公室(ico.org.UK)和金融監(jiān)察員服務(Financial-Ombudsman)。 還有一堆其他很多網(wǎng)站。 英國政府、全球各地政府網(wǎng)站、英國國家醫(yī)療服務系統(tǒng)和其他組織都在內(nèi)。

這些惡意代碼最初是由總部位于英國的信息安全顧問斯科特?赫爾姆(Scott Helme)首次發(fā)現(xiàn), 并得到《登記冊》的證實。 他建議網(wǎng)站管理員嘗試一種叫做 SRI-子資源完整性的技術, 這種技術可以攔截并阻止黑客向陌生人網(wǎng)站注入惡意代碼的企圖。

在這個星球上, 幾乎每個重要網(wǎng)站都有其他公司和組織提供的大量資源, 從字體、菜單界面到屏幕閱讀器和翻譯工具。 如果這些外部資源中的任何一個被黑客入侵或篡改，用以執(zhí)行惡意行為, 比如加密貨幣, 那么其他所有依賴這些被破壞資源的網(wǎng)站，最終都會把這些惡意代碼拉進自己的頁面以及訪問者的瀏覽器中。

是否存有解決方式呢？

SRI子資源完整性技術使用指紋識別來阻止被破壞的 JavaScript 進入網(wǎng)頁。 如果一個網(wǎng)絡混蛋改變了第三方提供者的源代碼, 則使用這種簽名技術的個別網(wǎng)站會檢測并阻止這種更改。

據(jù)雷鋒網(wǎng)了解，在更多的網(wǎng)站使用這種保護機制之前, 像 Browsealoud 這樣的第三方資源供應商將成為罪犯的目標, 推廣給數(shù)千個網(wǎng)絡采礦者, 甚至更糟。 一個混蛋只需要黑進一個供應商, 就能有效感染無數(shù)其他網(wǎng)頁。

幸運的是, 這些被注入的代碼只是試圖偷偷挖礦——一個 XMR 目前價值238.65美元或172.56英鎊——而不是做其他更惡意的事情, 比如彈出詐騙廣告、竊取密碼,、窺探鍵盤敲擊,、或者欺騙人們安裝惡意軟件。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。