新型加密劫持攻击席卷超过3500个网站

网络安全公司cside的专家发现了一场精密的攻击活动，感染了超过3500个网站，植入了恶意的JavaScript挖矿程序，这标志着加密劫持技术的惊人回归，让人想起2017年Coinhive的鼎盛时期。

这一新浪潮于2024年底被发现，与过去资源密集型的挖矿程序不同，过去的挖矿程序会导致设备明显变慢和电池耗尽，因此在2019年Chrome和Firefox浏览器广泛实施了屏蔽措施。与那些曾经占据门罗币网络哈希率高达12%的明显操作不同，当前版本采用高级混淆和低调执行来逃避检测，有效地将毫无戒心的用户浏览器转变为持久的加密货币挖矿节点。

网络安全中休眠威胁的复兴

该活动的发现始于对一个托管在https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo的第三方JavaScript文件的常规爬虫警报，该URL充满了可疑的随机查询参数，旨在掩盖其恶意意图。初始沙盒测试未显示立即的网络请求或CPU峰值，但AI驱动的异常检测将其标记为有害，促使对其隐蔽操作进行更深入的调查。

注入机制涉及通过延迟的<script>标签嵌入的base64编码脚本，该脚本解码为一个函数，动态从https://trustisimportant.fun/karma/karma.js?karma=bs?nosaj=faster.mo加载另一个JavaScript文件。该域名将流量重定向到yobox[.]store，促进有效负载的下载。执行时，脚本调用一个名为EverythingIsLife的混淆函数，传递编码参数，包括一个可能代表矿池标识符或钱包地址的长字符串，以及“web”环境的指令和限制值为50的节流阀，推测是为了限制CPU使用率以保持隐蔽。

研究人员在受控沙盒环境中剖析了脚本，采用了内容安全策略（CSP）与“unsafe-eval”和“unsafe-inline”指令，以允许调试而不触发浏览器保护措施。通过插入调试器语句并利用Chrome DevTools，他们解开了一系列重命名变量和编码字符串的迷宫，追踪执行流程，检查WebAssembly支持以评估设备能力，在名为“worcy”的数组中生成后台Web Workers以进行并行挖矿任务，并建立到命令与控制（C2）服务器wss://lokilokitwo[.]de:10006的WebSocket连接。这些工作者在主线程外处理挖矿计算，最小化性能影响并避免传统危险信号，如过度的CPU使用或明显的网络活动。

技术进化

这种进化的加密劫持模型代表了一个多阶段攻击链：投放脚本被注入到受感染的网站，随后进行环境探测以检查WebAssembly兼容性、设备类型（移动或桌面）和浏览器功能，以微调操作。Web Workers然后执行挖矿逻辑，通过WebSocket或HTTPS与C2基础设施通信，获取任务，包括关键IP如89.58.14.251和104.21.80.1，并在不引起怀疑的情况下中继结果回传。该活动的基础设施重用尤其令人担忧，诸如trustisimportant[.]fun的域名与之前的Magecart信用卡盗刷操作相关联，表明攻击者正在跨加密劫持和数据盗窃向量多样化有效负载。通过限制资源消耗并将流量嵌入WebSocket流中，挖矿程序无限期持续，像一种微妙的数字寄生虫而非蛮力提取器一样窃取计算能力。

影响超出了个别感染，标志着客户端威胁中持久性胜过侵略性的更广泛趋势。随着超过3500个网站受到影响，包括潜在的高流量平台，累积哈希率可能达到历史峰值，同时仍未被传统防病毒或浏览器保护检测到。网络安全专家强调需要增强防御，如更严格的内容安全策略（CSP）实施、实时JavaScript分析和AI监控的WebSocket流量检查。随着攻击者精炼这些技术，网络安全中的猫鼠游戏加剧，强调加密劫持远未灭绝，仅仅适应了在现代浏览生态系统的阴影中茁壮成长。