3500 余个网站遭劫持，黑客利用隐蔽 JavaScript 与 WebSocket 技术秘密挖矿

图片

一场新型攻击活动已导致全球 3500 余个网站被植入 JavaScript 加密货币挖矿程序。这标志着曾因 CoinHive 等平台而盛行的浏览器劫持挖矿攻击再度抬头。

尽管 CoinHive 已因浏览器厂商采取措施禁止挖矿相关应用及插件而关闭，但 c/side 的研究人员发现，一种隐蔽的挖矿程序被包裹在混淆后的 JavaScript 中 —— 它会评估设备的计算能力，并启动后台 Web Workers 以并行执行挖矿任务，整个过程难以被察觉。

更值得注意的是，该活动利用 WebSocket 从外部服务器获取挖矿任务，从而根据设备性能动态调整挖矿强度，并相应地限制资源消耗以保持隐蔽性。

安全研究员希曼舒・阿南德表示：“这是一种隐蔽的挖矿程序，通过保持在用户和安全工具的雷达之下以避免被检测。”

这种攻击的直接后果是，用户在浏览被入侵网站时会在不知情的情况下进行加密货币挖矿，他们的电脑变成了秘密的加密货币生成工具。目前，网站被入侵以实施浏览器内挖矿的具体方式尚不明确。

进一步分析显示，超过 3500 个网站陷入了这场大规模非法挖矿活动。托管该 JavaScript 挖矿程序的域名过去还与 Magecart 信用卡窃取器有关联，这表明攻击者试图多样化其攻击载荷和收入来源。

同一域名既用于分发挖矿程序，又用于传输信用卡信息窃取脚本，这显示威胁 actors 具备利用 JavaScript 发动 opportunistic 攻击、针对毫无防备的网站访客的能力。

c/side 指出：“攻击者现在更注重隐蔽性而非暴力窃取资源，他们通过混淆技术、WebSocket 和重复利用基础设施来隐藏行踪。其目标不是瞬间耗尽设备资源，而是像数字吸血鬼一样长期持续地窃取资源。”

这一发现与另一项 Magecart 窃取活动相呼应 — 该活动针对使用 OpenCart 内容管理系统（CMS）的东亚电商网站，在结账过程中注入虚假支付表单，收集包括银行信息在内的用户财务数据，然后将这些信息发送至攻击者的服务器。

近几周，客户端和网站定向攻击呈现出多种形式：

• 利用 JavaScript 嵌入，滥用与谷歌 OAuth 合法端点（“accounts.google .com/o/oauth2/revoke”）相关的回调参数，重定向至一个混淆后的 JavaScript 载荷，该载荷会与攻击者控制的域名建立恶意 WebSocket 连接。
• 直接向 WordPress 数据库（即 wp_options 和 wp_posts 表）注入谷歌标签管理器（GTM）脚本，加载远程 JavaScript 以将访客重定向至 200 余个垃圾网站。
• 入侵 WordPress 网站的 wp-settings.php 文件，从 ZIP 压缩包中加载恶意 PHP 脚本，该脚本会连接至命令与控制（C2）服务器，并最终利用网站的搜索引擎排名注入垃圾内容，提升其可疑网站的搜索排名。
• 向 WordPress 网站主题的页脚 PHP 脚本注入恶意代码，实施浏览器重定向。
• 使用以受感染域名命名的伪造 WordPress 插件来逃避检测，且仅在检测到搜索引擎爬虫时才激活，以推送用于操纵搜索结果的垃圾内容。
• 通过供应链攻击，在官方下载页面分发植入后门的 WordPress 插件 Gravity Forms（仅影响 2.9.11.1 和 2.9.12 版本），该插件会联系外部服务器获取额外载荷，并添加一个管理员账户，使攻击者完全控制网站。

Gravity Forms 的开发团队 RocketGenius 表示：“若安装了这些恶意代码，它会阻止程序更新，并试图连接外部服务器下载额外载荷。一旦成功执行该载荷，它会尝试添加一个管理员账户，这为攻击者打开了后门，使其可能实施一系列恶意行为，如扩大远程访问权限、注入更多未授权的任意代码、操纵现有管理员账户以及获取 WordPress 存储的数据。”