《洛杉矶时报》网站也中招:被注入加密劫持代码挖矿

 

周三,Bad Packets Report 公司的研究员 Troy Mursch 从美国第三大报纸《洛杉矶时报》的交互式“Homicide报告”网页上发现了加密劫持代码,这些代码悄悄利用访客的 CPU 挖掘门罗币。

Mursch 指出,目前由 Coinhive 公司创建的密币矿机已被删除。Coinhive 向网站提供门罗币 JavaScript 矿机,以非传统方式让网站内容变现。

Coinhive 的 JavaScript 矿机软件通常被黑客悄悄内嵌到网站中,然后利用网站访客的手机、平板设备和计算机的 CPU 处理能力挖掘门罗币。

 

矿机被节流 攻击难检测

Mursch 指出,在《洛杉矶时报》的案例中,由于矿机已被节流,因此对访客 CPU 产生的影响已减弱而且难以被检测到。一般而言,加密劫持攻击不会被节流而且会使用目标100%的CPU挖矿,从而导致受害者的手机或计算机因处理器负荷过重而出现过热的情况。

Mursch 指出,“访客 CPU 所受的影响大小因节流规模的不同而不同。在洛杉矶时报网站的案例中,因为矿机被节流到很低,因此一般用户很可能根本意识不到矿机在后台运行。”

这种节流方法似乎已奏效,加密劫持代码也隐藏了一段时间。Mursch 认为JavaScript 加密劫持代码至少从2月9日起就被隐藏到了网站上。

Mursch 指出,当时他在调查洛杉矶时报的亚马逊AWS S3存储桶配置不当问题。由于 AWS S3存储桶配置不当,导致任何人都能将代码写入服务器和“自杀报告”网站中。

《洛杉矶时报》尚未就此事置评。

Mursch 表示已通过邮件将加密劫持恶意软件事件告知《洛杉矶时报》并建议后者尽快将其删除。

 

挖矿软件曾劫持政府站点

Mursch 指出,这款 Coinhive 密币挖矿软件此前多次曾被秘密用于英国和美国政府网站和其它新闻媒体网站上。本周初,来自 RedLock 公司的研究人员指出,特斯拉也受密币挖矿攻击,当时配置不当的亚马逊 S3 存储桶导致受害者将密币挖矿恶意软件植入特斯拉的云环境中。Mursch 表示,没有人知道背后黑手是谁,尽管 Coinhive 声称已终止该软件。

要应对此类攻击,Mursch 建议企业正确保护云服务的安全并监控所有服务。“在洛杉矶时报等案例中,最容易的预防方法是确保自己的云服务如 AWS 得到正确的保护。在洛杉矶时报的案例中,似乎任何人都可在他们的 AWS 存储桶中写入代码,从而导致攻击者将加密劫持代码写入其中。”

(完)