加密货币劫持袭击市场，门罗币挖矿恶意软件攻击 3,500 多个网站

本站报道：

加密劫持攻击再次出现，已危及 3,500 多个网站，并悄悄劫持用户浏览器以挖掘门罗币这是一种注重隐私的加密货币。网络安全公司 C/侧于周二发现了这一攻击活动，而早在 2017 年就已停业的 Coinhive 服务因推广该攻击手段而被关闭，至今已近七年。

据 c/side 研究人员称，该恶意软件隐藏在经过混淆的 JavaScript 代码中，当用户访问受感染的网站时，它会悄悄地部署挖矿程序。一旦访问者进入受感染的页面，该脚本就会悄悄评估设备的计算能力。然后，它会在后台启动并行的 Web Workers 执行挖矿操作，而无需用户同意。

通过限制处理器使用率并通过 WebSocket 流路由通信，挖矿程序可以躲避检测，隐藏在正常的浏览器流量背后。“其目标是像数字吸血鬼一样，持续不断地吸走资源，”c/side 分析师解释道。

加密劫持代码如何运作

c/side 找到了一个代码通过从 https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo 加载的第三方 JavaScript 文件插入网站。而不是直接挖矿门罗币在首次执行时，它首先检查用户的浏览器是否支持 WebAssembly，这是运行具有高处理需求的应用程序的标准。

然后，代码会判断设备是否适合挖矿，并启动名为“worcy”的后台 Web Worker，它会谨慎地处理挖矿任务，而不会干扰浏览器主线程。命令和挖矿强度级别通过 WebSocket 连接从命令与控制 (C2) 服务器插入。

该 JavaScript 挖矿程序的托管域名此前曾与臭名昭著的 Magecart 攻击活动有关，该活动因窃取支付卡信息而臭名昭著。这可能意味着当前攻击活动的幕后黑手曾参与过网络犯罪。

威胁通过网站漏洞传播

最近几周，网络安全侦探发现了多起针对 WordPress 网站的客户端攻击。研究人员发现了一些感染方法，这些方法会在 WordPress 网站中嵌入恶意 JavaScript 或 PHP 代码。

Coinhive 短网址。来源：Malwarebytes.com

攻击者已开始滥用 Google 的 OAuth 系统，将 JavaScript 嵌入到与 URL（例如“accounts.google.com/o/oauth2/revoke”）绑定的回调参数中。重定向会引导浏览器通过隐藏的 JavaScript 负载，从而与恶意攻击者的服务器建立 WebSocket 连接。

另一种方法注入脚本通过 Google Tag Manager (GTM)，该脚本会直接嵌入到 WordPress 数据库表（例如 wp_options 和 wp_posts）中。该脚本会悄悄地将用户重定向到 200 多个垃圾邮件域名。

其他方法包括修改WordPress的wp-settings.php文件，从远程服务器上托管的ZIP压缩包中获取有效载荷。一旦激活，这些脚本就会感染网站的SEO排名，并添加内容以提高诈骗网站的可见度。

在一个案例中，代码被注入主题页脚的 PHP 脚本，导致浏览器将用户重定向到恶意网站。另一个案例涉及一个以受感染域名命名的伪造 WordPress 插件，该插件会检测搜索引擎爬虫何时访问该页面。然后，它会发送垃圾内容来操纵搜索引擎排名，而人类访问者仍然无法察觉。

C/side 提到了 Gravity Forms 插件版本 2.9.11.1 和 2.9.12 是如何在供应链攻击中被入侵并通过官方插件网站分发的。被篡改的版本会联系外部服务器获取额外的有效载荷，并尝试在 WordPress 上创建管理员帐户。site.

2024 年秋季，微软攻击美国国际开发署 (USAID) 后，成为加密货币劫持的受害者警觉该机构在测试环境中的一个管理员账户被攻破。攻击者使用密码喷洒攻击访问系统，然后通过美国国际开发署的 Azure 云基础设施创建了第二个账户，用于加密货币挖矿操作。

KEY 差异线帮助加密货币品牌快速突破并占据头条新闻