据雷锋网相识,在更多的网站利用这种掩护机制之前, 像 Browsealoud 这样的第三方资源供给商将成为罪犯的方针, 推广给数千个网络采矿者, 甚至更糟。
幸运的是, 这些被注入的代码只是试图偷偷挖矿—— 一个 XMR 今朝代价238.65美元或172.56英镑——而不是做其他更恶意的工作,好比弹出诈骗告白、窃取暗码,、窥伺键盘敲击,、可能欺哄人们安装恶意软件。
据外媒 The Register 报道,从英国国度医疗处事体系(NHS)和 ICO、到美国当局的法院系统,世界各地数以千计的网站,如今被都在为隐匿的无赖们奥秘地挖掘加密钱币。
Malwarebytes Labs 认真人亚当库贾瓦(Adam Kujawa)暗示:”我们并不认为 coinhive.com 是恶意的,甚至不必然是个坏主意……答允人们选择告白替代品的观念是一个崇高的观念。从虚假新闻到令人眩晕的告白, 这种见识是一个崇高的观念。 它的执行却是另一回事。
SRI子资源完整性技能利用指纹识别来阻止被粉碎的 JavaScript 进入网页。 假如一个网络忘八改变了第三方提供者的源代码, 则利用这种签名技能的个体网站会检测并阻止这种变动。
接上文所述,任何一个会见了插入Browsealoud 代码网站的人, 城市不经意地在他们电脑上运行这个埋没的挖矿代码, 从而为这个裂痕背后的无赖们赚钱。
全文列出4200多受影响网站——包罗纽约市立大学(纽约市立大学)、山姆大叔的法院信息派别(uscourts.gov)、 Lund 大学(lu.se)、英国粹生贷款公司(slc.co.UK)、隐私禁锢机构——信息专员办公室(ico.org.UK)和金融监察员处事(Financial-Ombudsman)。 尚有一堆其他许多网站。 英国当局、全球各地当局网站、英国国度医疗处事系统和其他组织都在内。
Coinhive公司是一家隐秘的网络加密现金挖矿商。同样是The Register报道称, Coinhive 是一家正当机构,听说它将采矿代码嵌入页面, 以赚取网站所有者的收入来替代讨厌的告白。 然而, 这个免费的东西如今已经被滥用了。
同时,可能被黑客、可能被恶意内部人士改动了代码,这款技能自己在某种水平上也受到影响,它在提供Browsealoud 插件的网页内,悄无声息地植入 Coinhive公司的开矿代码。
一个忘八只需要黑进一个供给商, 就能有效传染无数其他网页。
个中,采矿软件地址的 coinhive.com 是第二常被用户屏蔽的域名, 已有1.3亿用户表达了他们对这项技能的不屑。
是否存有办理方法呢?
在这个星球上, 险些每个重要网站都有其他公司和组织提供的大量资源, 从字体、菜单界面到屏幕阅读器和翻译东西。假如这些外部资源中的任何一个被黑客入侵或改动,用以执行恶意行为, 好比加密钱币, 那么其他所有依赖这些被粉碎资源的网站,最终城市把这些恶意代码拉进本身的页面以及会见者的欣赏器中。
据雷锋网相识,,
这些恶意代码最初是由总部位于英国的信息安详参谋斯科特赫尔姆(Scott Helme)首次发明, 并获得《挂号册》的证实。 他发起网站打点员实验一种叫做 SRI-子资源完整性的技能, 这种技能可以拦截并阻止黑客向生疏人网站注入恶意代码的诡计。
受影响的网站都利用了一个相当风行的插件 —— Browsealoud, 由 Brit biz Texthelp 建造, 它也可觉得瞽者或部门失明者读取网页。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。