FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

新型攻击活动浮出水面

安全研究人员发现，全球超过3500个网站已被植入JavaScript加密货币挖矿程序，标志着曾由CoinHive等工具推动的浏览器挖矿攻击卷土重来。尽管主流浏览器已封禁挖矿类插件，但c/side团队发现攻击者通过混淆JavaScript代码隐藏挖矿程序，该脚本会评估设备算力并启动后台Web Workers线程并行执行挖矿任务，整个过程完全静默运行。

技术手段分析

该攻击活动创新性地利用WebSocket协议从外部服务器获取挖矿任务，可根据设备性能动态调整挖矿强度，并通过节流机制控制资源消耗以保持隐蔽性。"这是精心设计的隐蔽挖矿程序，旨在规避用户和安全工具的检测，"安全专家Himanshu Anand指出。受感染网站访问者会在不知情的情况下成为加密货币挖矿的"肉鸡"，其计算机资源被秘密用于挖矿。

调查显示，托管挖矿脚本的域名此前还与Magecart信用卡盗刷攻击有关，表明攻击者正尝试通过多样化攻击载荷扩大收益来源。威胁分子通过复用基础设施同时投放挖矿脚本和银行卡窃取程序，展现出对JavaScript武器的娴熟运用能力。

攻击趋势演变

c/side团队强调："攻击者现在更注重隐蔽性而非暴力资源窃取，通过代码混淆、WebSocket技术和基础设施复用来隐藏行踪。其目标不是立即耗尽设备资源，而是像数字吸血鬼般持续窃取算力。"

近期还发现针对东亚电商网站的Magecart攻击，攻击者利用OpenCart内容管理系统（CMS）在结账页面注入虚假支付表单，窃取包括银行信息在内的财务数据。这些攻击呈现出多种技术形态：

• OAuth端点滥用：利用Google OAuth回调参数将用户重定向至混淆的JavaScript载荷，建立与攻击者控制域的恶意WebSocket连接
• 数据库直接注入：通过修改WordPress数据库（wp_options和wp_posts表）植入Google Tag Manager脚本，将访问者重定向至200余个垃圾域名
• 核心文件篡改：感染wp-settings.php文件加载恶意PHP脚本，连接C2服务器并操纵搜索引擎排名投放垃圾内容
• 主题脚本植入：在WordPress主题页脚PHP脚本中注入恶意代码实现浏览器重定向
• 伪装插件攻击：使用与感染域名同名的虚假WordPress插件，仅在检测到搜索引擎爬虫时激活以操纵搜索结果
• 供应链攻击：通过官方渠道分发被篡改的Gravity Forms插件（仅影响2.9.11.1和2.9.12版本），连接外部服务器获取额外载荷并创建管理员账户

安全威胁升级

Gravity Forms开发团队RocketGenius警告："恶意代码会阻止插件更新，并尝试连接外部服务器下载更多攻击载荷。若执行成功，将创建管理员账户，为后续远程控制、任意代码注入、管理员账户操纵等恶意行为打开后门。"

参考来源：

3,500 Websites Hijacked to Secretly Mine Crypto Using Stealth JavaScript and WebSocket Tactics

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）