JSFireTruck恶意软件活动感染超269,000个网站

安全研究人员发现了一个规模庞大且持续增长的网络攻击活动，该活动通过恶意JavaScript代码感染了数十万个合法网站。

此攻击活动的幕后黑手使用了一种名为JSFireTruck的隐蔽但强大的JavaScript混淆方法，这个昵称由Palo Alto Networks的Unit42研究人员创造。

该活动的核心是一种异常伪装的JavaScript形式，对普通开发人员来说几乎不可读。恶意代码不是使用正常的单词和函数构建，而是使用一组符号：[, ], +, !, (, 和 )。这些字符利用JavaScript自身的规则进行操作，以重新创建攻击者想要的任何代码，同时隐藏代码的真实目的。

JSFireTruck的工作原理

攻击者将这种混淆的JavaScript注入受信任的网站。代码初看显得奇怪且难以阅读，通常包含如+[]、!.[]或({}+[])的组合。但在混乱的表象下隐藏着强大的脚本。

“代码的混淆隐藏了其真实目的，阻碍了分析，“研究人员Hardik Shah、Brad Duncan和Pranay Kumar Chhaparwal在Unit 42的报告中表示。

注入的恶意代码通过检查"document.referrer"来操作，这基本上指示了访问者来自哪个网站。如果引用来源是流行的搜索引擎，如Google、Bing、DuckDuckGo、Yahoo!或AOL，JSFireTruck会将受害者重定向到有害URL。

这些恶意目的地可能导致各种不良后果，包括恶意软件下载、漏洞利用、恶意广告和流量货币化计划。在某些情况下，脚本会加载一个覆盖整个浏览器窗口的不可见iframe，隐藏真实网站内容，并强制用户与攻击者的页面交互。

该活动的欺骗性意味着，网站可能对普通观察者看起来完全正常，同时秘密地将其部分流量转移到恶意网站。

JSFireTruck活动的规模令网络安全专家深感担忧。在2025年3月26日至4月25日期间，Unit42遥测检测到惊人的269,552个网页感染了此JavaScript代码。4月12日观察到活动显著激增，单日记录了超过50,000个受感染网页。

“该活动的规模和隐蔽性构成了重大威胁，“Unit42研究人员强调。“这些感染的广泛性表明，存在协调努力通过合法网站作为攻击向量进行进一步的恶意活动。”

如何保持防护

专家警告称，这些攻击的隐蔽性使其特别危险。许多网站所有者可能甚至不知道他们的网站被感染。

Unit42建议网站管理员定期扫描和更新其网站，监控意外脚本，并使用高级安全工具检测混淆威胁。网站所有者应密切监控流量分析，并定期审核其Web内容中的可疑代码，特别是如果他们的网站严重依赖第三方脚本或插件时。