受累于挖矿代码， 数千计国外网站被篡改为牟利工具

据外媒The Register报道，从英国国家医疗服务体系(NHS)和 ICO、 到美国政府的法院系统，世界各地数以千计的网站，如今被都在为隐匿的恶棍们秘密地挖掘加密货币。

受影响的网站都使用了一个相当流行的插件—— Browsealoud, 由 Brit biz Texthelp 制作, 它也可以为盲人或部分失明者读取网页。

同时，或者被黑客、或者被恶意内部人士篡改了代码，这款技术本身在某种程度上也受到影响，它在提供Browsealoud 插件的网页内，悄无声息地植入 Coinhive公司的开矿代码。

据了解， Coinhive公司是一家隐秘的网络加密现金挖矿商。同样是The Register报道称， Coinhive 是一家合法机构，据说它将采矿代码嵌入页面, 以赚取网站所有者的收入来替代讨厌的广告。 然而, 这个免费的工具如今已经被滥用了。

其中，采矿软件所在的 coinhive.com 是第二常被用户屏蔽的域名, 已有1.3亿用户表达了他们对这项技术的不屑。

Malwarebytes Labs 负责人亚当库贾瓦(Adam Kujawa)表示:”我们并不认为 coinhive.com 是恶意的, 甚至不一定是个坏主意……允许人们选择广告替代品的概念是一个崇高的概念。从虚假新闻到令人眩晕的广告, 这种观念是一个崇高的概念。 它的执行却是另一回事。

接上文所述，任何一个访问了插入Browsealoud 代码网站的人, 都会不经意地在他们电脑上运行这个隐藏的挖矿代码, 从而为这个漏洞背后的恶棍们赚钱。

全文列出4200多受影响网站——包括纽约市立大学(纽约市立大学)、山姆大叔的法院信息门户(uscourts.gov)、 Lund 大学(lu.se)、英国学生贷款公司(slc.co.UK)、隐私监管机构——信息专员办公室(ico.org.UK)和金融监察员服务(Financial-Ombudsman)。 还有一堆其他很多网站。 英国政府、全球各地政府网站、英国国家医疗服务系统和其他组织都在内。

这些恶意代码最初是由总部位于英国的信息安全顾问斯科特赫尔姆(Scott Helme)首次发现, 并得到《登记册》的证实。 他建议网站管理员尝试一种叫做 SRI-子资源完整性的技术, 这种技术可以拦截并阻止黑客向陌生人网站注入恶意代码的企图。

在这个星球上, 几乎每个重要网站都有其他公司和组织提供的大量资源, 从字体、菜单界面到屏幕阅读器和翻译工具。 如果这些外部资源中的任何一个被黑客入侵或篡改，用以执行恶意行为, 比如加密货币, 那么其他所有依赖这些被破坏资源的网站，最终都会把这些恶意代码拉进自己的页面以及访问者的浏览器中。

是否存有解决方式呢？

SRI子资源完整性技术使用指纹识别来阻止被破坏的 JavaScript 进入网页。 如果一个网络混蛋改变了第三方提供者的源代码, 则使用这种签名技术的个别网站会检测并阻止这种更改。

据了解，在更多的网站使用这种保护机制之前, 像 Browsealoud 这样的第三方资源供应商将成为罪犯的目标, 推广给数千个网络采矿者, 甚至更糟。 一个混蛋只需要黑进一个供应商, 就能有效感染无数其他网页。

幸运的是, 这些被注入的代码只是试图偷偷挖矿——一个 XMR 目前价值238.65美元或172.56英镑——而不是做其他更恶意的事情, 比如弹出诈骗广告、窃取密码,、窥探键盘敲击,、或者欺骗人们安装恶意软件。

来源：雷锋网