加密劫持攻击市场，门罗币挖矿恶意软件攻击超过3500个网站

加密劫持攻击卷土重来，已入侵超过3500个网站，并在用户不知情的情况下劫持浏览器，挖掘门罗币（一种注重隐私的加密货币）。网络安全公司c/side于周二发现了此次攻击活动。此前，曾推广这种攻击手段的Coinhive服务于2017年关闭，距今已近七年。.

据 c/side 研究人员称，该恶意软件隐藏在混淆的 JavaScript 代码中，当用户访问受感染的网站时，它会悄悄部署挖矿程序。一旦访客进入被入侵的页面，该脚本就会悄悄评估设备的计算能力。然后，它会在后台启动多个 Web Worker 进程来执行挖矿操作，而无需用户许可。.

通过限制处理器使用率并将通信路由到 WebSocket 流，挖矿程序可以避免被检测到，隐藏在正常的浏览器流量背后。“其目标是像数字吸血鬼一样，持续不断地吸取资源，”c/side 分析师解释道。.

加密劫持代码的工作原理

c/side 发现一段代码 通过第三方 JavaScript 文件插入到网站上，该文件加载自 https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo。该代码在初始执行时不会直接挖掘 门罗币 ，而是首先检查用户的浏览器是否支持 WebAssembly，WebAssembly 是一种用于运行高处理需求应用程序的标准。 

代码随后会评估设备是否适合挖矿，并启动名为“worcy”的后台 Web Worker，这些 Web Worker 会悄悄地处理挖矿任务，而不会干扰主浏览器线程。命令和挖矿强度级别通过 WebSocket 连接从命令与控制 (C2) 服务器发送。. 

该JavaScript挖矿程序的托管域名此前曾与Magecart攻击活动有关联，Magecart因窃取支付卡信息而臭名昭著。这可能意味着当前攻击活动的幕后组织有网络犯罪前科。. 

威胁通过网站漏洞传播

最近几周，网络安全专家发现多起针对WordPress网站的客户端攻击。研究人员发现，攻击者利用一些感染方法，将恶意JavaScript或PHP代码嵌入到WordPress网站中。.

攻击者开始滥用谷歌的 OAuth 系统，他们在与“accounts.google.com/o/oauth2/revoke”等 URL 关联的回调参数中嵌入 JavaScript 代码。重定向会将浏览器引导至一个伪装的 JavaScript 有效载荷，该有效载荷会与恶意攻击者的服务器建立 WebSocket 连接。.

另一种方法是通过 Google Tag Manager (GTM) 注入 脚本 ，然后将脚本直接嵌入到 WordPress 数据库表（例如 wp_options 和 wp_posts）中。该脚本会在后台静默地将用户重定向到 200 多个垃圾域名。 

其他方法包括修改 WordPress 的 wp-settings.php 文件，以从托管在远程服务器上的 ZIP 压缩包中获取恶意代码。一旦激活，这些脚本会损害网站的 SEO 排名，并添加内容以提高诈骗网站的曝光度。.

其中一起案例中，恶意代码被注入到主题的页脚 PHP 脚本中，导致浏览器将用户重定向到恶意网站。另一起案例则涉及一个以受感染域名命名的虚假 WordPress 插件，该插件会检测搜索引擎爬虫何时访问该页面。然后，它会发送垃圾内容来操纵搜索引擎排名，而这一切都对普通用户隐藏。.

C/side 指出，Gravity Forms 插件 2.9.11.1 和 2.9.12 版本遭到篡改，并通过官方插件网站以供应链攻击的方式传播。这些被篡改的版本会连接外部服务器以获取额外的恶意代码，并试图在 WordPress 网站。

2024年秋季，美国国际开发署（USAID）遭遇加密劫持攻击。此前，微软 发出警报 ，称其测试环境中的一个管理员账户遭到入侵。攻击者利用密码喷洒攻击入侵系统，然后通过USAID的Azure云基础设施创建第二个账户进行加密货币挖矿。