快讯 | 继CoinHive后,JQuery官方博客也被黑了

FreeBuf 先前报道过,分发挖矿 javascript 的网站 CoinHive 被黑了,而且影响范围很广,今天,又有新闻爆出,前端领域经久不衰的老牌第三方库 jQuery 的官方博客也被黑了。

jQuery

今天早些时候,网名为“n3tr1x” and “str0ng” 的黑客篡改了 jQuery 官方博客(blog.jquery.com)的主页。而 jQuery 的官方博客使用的是 WordPress 后台内容管理系统。我们在截图中可以看到,黑客使用了 Leah Silber (jQuery 核心开发人员 )的账号发了一篇文章。

The Hacker News表示,现在还没有证据表示,存放 jQuery 代码的服务器(code.jquery.com) 也被黑客入侵了。但是,这也不是没有可能的,毕竟用户量达百万的 WordPress 以前曝出过严重的 0day 漏洞。

因此,黑客这次有可能不仅仅只是黑了 Silber 的账号,也许还利用了一些开发者不熟知的 WordPress 漏洞。

撰写这篇文章的时候,这个页面已经被 jQuery 官方删除了。但并未给出官方回复。

这已经不是 jQuery 的网站第一次被黑了。早在 2014 年,jQuery 主站(jQuery.com)就遭受过攻击,用户在访问时会被重定向到非法站点。

现在有上百万的网站直接调用 jQuery 站点上存储的 jQuery script,代码受到影响的的话,后果很严重。

CoinHive Hack

CoinHive 是一家为其他网站提供挖矿 JS 脚本的公司,这些脚本可以帮助站长利用网站访客的计算机 CPU进行挖矿,代替广告收入。

上个月,CoinHive 在我们的视野中出现过一次,网上曝出知名种子站海盗湾利用访客 CPU 的计算能力获取 Monero 虚拟货币。

而海盗湾用的就是 CoinHive 提供的挖矿代码,那要如何定义这些挖矿代码呢?它们既不是病毒也不是木马,安全人员认为,在用户不知晓的情况下偷偷利用用户计算机算力进行挖矿是不道德的。

本周一(10月23日),黑客拿到了 CoinHive 的 CloudFlare 账号,改变了网站的 DNS 解析,网站上存放的代码也动了手脚,影响了上千网站。

CoinHive 也写了一篇博文对此事做出了回复:

10 月 23 日晚上,我们的 DNS 提供商(Cloudflare)账户已经被黑客入侵,而其中的 coinhive.com 的 DNS 记录也已被修改。coinhive.min.js 也已经重新定向到别的第三方服务器文件。 我们在安全上做的功课还是挺多的,所有的服务都使用了两步验证,所有的密码都是不同的,但我们还是忘记修改两年前的 Cloudflare 账户密码了。

站点使用挖矿代码,我们如何预防

上文中提到的海盗湾,在发现偷偷运行挖矿代码之后,也对此事做出了回应,表示这只是一次24小时的替代广告测试,并不会长久使用。但一个月之后,该站点又被发现偷偷使用挖矿代码,利用用户计算机 CPU 计算能力获取虚拟货币。

后来陆续发现, CBS ShowTime 旗下的两个网站也在使用挖矿代码,知名游戏 Grand Theft Auto V (GTA 5) video game 的一个 Mod 中也发现了挖矿代码。

还有报告表示,黑客在攻击网站的时候,会偷偷在网站代码中嵌入挖矿代码。因此,用户需要对此保存警惕。

谷歌研究人员对此表示,Chrome 或会开发出新的安全功能,默认阻止挖矿代码的运行。此外,用户还可以使用 Chrome 插件 minerBlock 和 No Coin 阻止挖矿程序。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

揭秘黑客盗号

早期的盗取号的方法主要有两种: 第一种:本地机器种木马这是极为普遍的一种方法,而且很简单,只要您能有一个木马就行,这种软件可以说遍地都是,数量很多,随便到哪个小...

2K80
来自专栏施炯的IoT开发专栏

移动物联网 之 智能家居

本系列文章结合时下正热的“物联网”概念,介绍实现“智能家居”的一套解决方案。 引言     随着科技的发展,手机已经不简单地是个通讯设备,而是人们生活的必需...

27280
来自专栏恒思考

区块链学习计划

princeton_bitcoin_book Mastering Bitcoin request_whitepaper

18220
来自专栏快乐八哥

使用Ubuntu 12.04作为日常电脑环境

搜狗输入法出来之后,我觉得有必要写一篇博客说明一下,如何使用Ubuntu作为日常的电脑系统。我使用的Ubuntu版本是12.04,没有使用Ubuntukylin...

31280
来自专栏Grace development

电商系统设计之商品[番外篇]

这是电商系统设计系列在商品设计这块的最后一篇文章。以下是其他文章地址,按照逻辑顺序排列如下 – 电商系统设计之用户系统 https://blog.fastrun...

20220
来自专栏养码场

一周播报|明明BUG这么多,死也不给看代码?这位程序员你咋这么矫情......

Q:有两张表(一个库),一个是用户表、一个是会员表,一个会员记录对应多条用户记录,有一个事务过程如下:每更新用户表中一条记录,更新(update)对应会员表中的...

9220
来自专栏Eugene's Blog

2018黑帽SEO优化排名技术方法大总结分类目录文章标签友情链接联系我们

84520
来自专栏FreeBuf

追踪溯源 | 希拉里邮箱泄露事件

看了国外的几篇针对希拉里邮箱泄露事件的溯源分析,感觉基本上溯源算是失败了。黑了希拉里的人是什么动机?来自哪里?是川普派来的么?是第二次水门事件么?最终,答案都是...

27960
来自专栏魏艾斯博客www.vpsss.net

WordPress 搭建网站流程-零基础搭建 wordpress 教程

接触 WordPress 时间久了,魏艾斯博客发现很多人都想学习如何用 WordPress 搭建网站,苦于没人领进门不明白从哪里开始,在门外乱转也不得要领。老魏...

1.5K40
来自专栏企鹅号快讯

解密区块链(五):从BT下载来看区块链激励制度的重要性

区块链本质上是一个分布式的公共账本,这一点在前面的比特币系列文章,区块链系列文章都有过阐述,这样一种分布式的公共账本设计,主要用来解决账本(数据)的安全性和真实...

367100

扫码关注云+社区

领取腾讯云代金券