专栏首页FreeBuf快讯 | 继CoinHive后,JQuery官方博客也被黑了

快讯 | 继CoinHive后,JQuery官方博客也被黑了

FreeBuf 先前报道过,分发挖矿 javascript 的网站 CoinHive 被黑了,而且影响范围很广,今天,又有新闻爆出,前端领域经久不衰的老牌第三方库 jQuery 的官方博客也被黑了。

jQuery

今天早些时候,网名为“n3tr1x” and “str0ng” 的黑客篡改了 jQuery 官方博客(blog.jquery.com)的主页。而 jQuery 的官方博客使用的是 WordPress 后台内容管理系统。我们在截图中可以看到,黑客使用了 Leah Silber (jQuery 核心开发人员 )的账号发了一篇文章。

The Hacker News表示,现在还没有证据表示,存放 jQuery 代码的服务器(code.jquery.com) 也被黑客入侵了。但是,这也不是没有可能的,毕竟用户量达百万的 WordPress 以前曝出过严重的 0day 漏洞。

因此,黑客这次有可能不仅仅只是黑了 Silber 的账号,也许还利用了一些开发者不熟知的 WordPress 漏洞。

撰写这篇文章的时候,这个页面已经被 jQuery 官方删除了。但并未给出官方回复。

这已经不是 jQuery 的网站第一次被黑了。早在 2014 年,jQuery 主站(jQuery.com)就遭受过攻击,用户在访问时会被重定向到非法站点。

现在有上百万的网站直接调用 jQuery 站点上存储的 jQuery script,代码受到影响的的话,后果很严重。

CoinHive Hack

CoinHive 是一家为其他网站提供挖矿 JS 脚本的公司,这些脚本可以帮助站长利用网站访客的计算机 CPU进行挖矿,代替广告收入。

上个月,CoinHive 在我们的视野中出现过一次,网上曝出知名种子站海盗湾利用访客 CPU 的计算能力获取 Monero 虚拟货币。

而海盗湾用的就是 CoinHive 提供的挖矿代码,那要如何定义这些挖矿代码呢?它们既不是病毒也不是木马,安全人员认为,在用户不知晓的情况下偷偷利用用户计算机算力进行挖矿是不道德的。

本周一(10月23日),黑客拿到了 CoinHive 的 CloudFlare 账号,改变了网站的 DNS 解析,网站上存放的代码也动了手脚,影响了上千网站。

CoinHive 也写了一篇博文对此事做出了回复:

10 月 23 日晚上,我们的 DNS 提供商(Cloudflare)账户已经被黑客入侵,而其中的 coinhive.com 的 DNS 记录也已被修改。coinhive.min.js 也已经重新定向到别的第三方服务器文件。 我们在安全上做的功课还是挺多的,所有的服务都使用了两步验证,所有的密码都是不同的,但我们还是忘记修改两年前的 Cloudflare 账户密码了。

站点使用挖矿代码,我们如何预防

上文中提到的海盗湾,在发现偷偷运行挖矿代码之后,也对此事做出了回应,表示这只是一次24小时的替代广告测试,并不会长久使用。但一个月之后,该站点又被发现偷偷使用挖矿代码,利用用户计算机 CPU 计算能力获取虚拟货币。

后来陆续发现, CBS ShowTime 旗下的两个网站也在使用挖矿代码,知名游戏 Grand Theft Auto V (GTA 5) video game 的一个 Mod 中也发现了挖矿代码。

还有报告表示,黑客在攻击网站的时候,会偷偷在网站代码中嵌入挖矿代码。因此,用户需要对此保存警惕。

谷歌研究人员对此表示,Chrome 或会开发出新的安全功能,默认阻止挖矿代码的运行。此外,用户还可以使用 Chrome 插件 minerBlock 和 No Coin 阻止挖矿程序。

本文分享自微信公众号 - FreeBuf(freebuf),作者:liki

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-10-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 《绝地求生》辅助程序暗藏挖矿木马

    0x1 概述 数字货币“挖矿”, 通俗讲就是猜数字求解,猜对即可获得数字货币奖励。目前已知的数字货币约有100多种,包括比特币、莱卡币、门罗币等常见类型,并且近...

    FB客服
  • HackerOne去年发赏金8200万+美元,联邦政府参与度大幅上涨

    2019年,由黑客驱动的漏洞赏金平台HackerOne支付的漏洞奖金几乎是前几年总和的两倍,达到8200万美元。

    FB客服
  • 2019上半年恶意挖矿趋势报告

    上一期,深信服安全团队对勒索病毒进行2019半年度总结,主要盘点了高发勒索家族、受灾区域分布、勒索病毒发展走向等。本期深信服安全团队对另一流行病毒类型——挖矿木...

    FB客服
  • LeetCode 69. x 的平方根:二分查找法实现自定义的函数:x 的平方根

    输入: 8 输出: 2 说明: 8 的平方根是 2.82842..., 由于返回类型是整数,小数部分将被舍去。

    一个会写诗的程序员
  • 这就是机器人选出的全世界“最好看的人”

    大数据文摘
  • 使用树莓派来挖xmr门罗币

    作为一个要把所有算力用来挖矿的人来说,树莓派肯定不能放着吃灰啊,但是树莓派用来挖矿是我觉得是有点鸡肋的,不管怎么说,挖起。

    bboysoul
  • 进程管理工具之top、htop、glances、dstat

    进程管理经常用到的工具有:top、htop、glances、dstat,下面一一介绍。

    二狗不要跑
  • 三种主流深度相机介绍

    深度相机又称之为3D相机,顾名思义,就是通过该相机能检测出拍摄空间的景深距离,这也是与普通摄像头最大的区别。

    点云PCL博主
  • JavaScript 仍然位居榜首,TypeScript 也不甘落后

    根据以开发人员为中心的分析公司RedMonk的2018年第一季度排名,JavaScript仍然是最受欢迎的编程语言,但微软提供的两款产品正在稳步增长。 RedM...

    程序员宝库
  • DevOps与合规性:鱼和熊掌兼得指南

    编者按:很多行业身处强力监管领域,因而格外强调合规性。反映在IT上就是开发、部署和运维等规范(比如开发团队不能碰生产日志)的不可或缺。本文中提到的一些方法(如自...

    yuanyi928

扫码关注云+社区

领取腾讯云代金券