据外媒The Register报导,从英国国家医疗服务体系(NHS)和 ICO、 到美国政府的法院系统,世界各地数以千计的网站,如今被都在为藏匿的恶棍们秘密地挖出加密货币。不受影响的网站都用于了一个非常风行的插件—— Browsealoud, 由 Brit biz Texthelp 制作, 它也可以为盲人或部分失聪者加载网页。同时,或者被黑客、或者被蓄意内部人士伪造了代码,这款技术本身在或许上也受到影响,它在获取Browsealoud 插件的网页内,悄无声息地植入Coinhive公司的矿区代码。
据(公众号:)理解,Coinhive公司是一家不为人知的网络加密现金挖矿商。某种程度是The Register报导称之为,Coinhive 是一家合法机构,据传它将矿业代码映射页面, 以赚网站所有者的收益来替代喜欢的广告。然而, 这个免费的工具如今早已被欺诈了。
其中,矿业软件所在的 coinhive.com 是第二经常被用户屏蔽的域名, 有数1.3亿用户传达了他们对这项技术的狂妄。Malwarebytes Labs 负责人亚当•库贾瓦(Adam Kujawa)回应:”我们毫无疑问 coinhive.com 是蓄意的, 甚至不一定是个坏主意……容许人们自由选择广告替代品的概念是一个崇高的概念。从欺诈新闻到令人失眠的广告, 这种观念是一个崇高的概念。
它的继续执行毕竟另一回事。接通文所述,任何一个采访了放入Browsealoud 代码网站的人, 都会不经意地在他们电脑上运营这个隐蔽的挖矿代码, 从而为这个漏洞背后的恶棍们赚。找到,全文所列4200多不受影响网站——还包括纽约市而立大学(纽约市而立大学)、山姆大叔的法院信息门户(uscourts.gov)、 Lund 大学(lu.se)、英国学生贷款公司(slc.co.UK)、隐私监管机构——信息专员办公室(ico.org.UK)和金融监察员服务(Financial-Ombudsman)。
还有一堆其他很多网站。英国政府、全球各地政府网站、英国国家医疗服务系统和其他的组织都在内。
这些恶意代码最初是由总部坐落于英国的信息安全顾问斯科特•赫尔姆(Scott Helme)首次找到, 并获得《登记册》的证实。他建议网站管理员尝试一种叫作 SRI-子资源完整性的技术, 这种技术可以截击并制止黑客向陌生人网站流经恶意代码的企图。在这个星球上, 完全每个最重要网站都有其他公司和的组织获取的大量资源, 从字体、菜单界面到屏幕阅读器和翻译成工具。
如果这些外部资源中的任何一个被黑客侵略或伪造,借以继续执行蓄意不道德, 比如加密货币, 那么其他所有倚赖这些被毁坏资源的网站,最后都会把这些恶意代码纳入自己的页面以及访问者的浏览器中。否存在解决问题方式呢?SRI子资源完整性技术用于指纹识别来制止被毁坏的 JavaScript 转入网页。如果一个网络混蛋转变了第三方提供者的源代码, 则用于这种亲笔签名技术的个别网站不会检测并制止这种变更。
据理解,在更好的网站用于这种维护机制之前, 像 Browsealoud 这样的第三方资源供应商将沦为罪犯的目标, 推展给数千个网络矿业者, 甚至更糟。一个混蛋只必须白入一个供应商, 就能有效地病毒感染无数其他网页。幸运地的是, 这些被流经的代码只是企图偷偷地挖矿——一个 XMR 目前价值238.65美元或172.56英镑——而不是做到其他更加蓄意的事情, 比如弹头出有诈骗广告、盗取密码,、窥视键盘敲打,、或者愚弄人们加装恶意软件。
原创文章,予以许可禁令刊登。下文闻刊登须知。
本文来源:pg问鼎娱乐-www.gouwudi.com