攻击者劫持 StatCounter 分析工具盗走比特币

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

上周末，一名或一伙黑客成功地通过攻陷web分析服务从密币交易所盗走比特币。

上周末，ESET公司的恶意软件研究员Matthieu Faou在70多万个网站上发现了恶意JavaScript代码被捆绑来自领先的web分析平台StatCounter的流量追踪代码。

然而，分析完代码后，研究人员发现黑客设法攻陷了StatCounter平台并成功地用恶意JavaScript代码替换了追踪脚本，主要针对的是Gate.io密币交易所的客户。

和GoogleAnalytics工具一样，StatCounter工具也是一款历史悠久的热门实时web分析平台，据称超过200万个站点都在使用，每月的访问量超过100亿次。

盗取比特币的过程

尽管恶意代码也被注入数十万个使用StatCounter服务的网站中，但只有在URL或网页内容中含有一个特定的URI：myaccount/withdraw/BTC时，脚本才会被激活。

“myaccount/withdraw/BTC”URI和向用户提供比特币存取和转账的某个gate.io网页存在特定关联。

该恶意脚本旨在用黑客的地址替换掉转账的比特币目标地址。每当访客加载statcounter.com/c.php脚本时，恶意服务器就会生成一个新的比特币地址，因此很难发现转账给攻击者的比特币数量是多少。每当恶意脚本被发送给受害者后，就会产生一个新的比特币地址，因此无法获悉攻击者所收集的比特币数量。

研究人员指出，恶意脚本被添加至合法的StatCounter的JavaScript中间，从而导致很难通过“一般的观察”检测到恶意代码。

StatCounter 已遭删除

11月3日，攻击者成功地攻陷了StatCounter平台。11月5日研究人员将事件告知Gate.io，后者将其定性为“供应链”攻击，因为恶意脚本出现在目标所使用的服务商。

11月6日，StatCounter删除了恶意脚本，几个小时后，Gate.io密币交易所平台停止使用该分析服务以阻止进一步产生的危害。

Gate.io同时表示，交易所后续通过56款反病毒产品扫描网站，“当时并未收到任何可疑行为的报告”。交易所表示“用户的资金是安全的”，但并未透露在11月3日至6日期间有多少名客户丢失资金，也未承诺如何进行补偿。

Gate.io督促客户启用双因素认证和两步登录保护措施让账户得到最大程度的保护。