全球5万个网站感染恶意挖矿脚本，黑客最爱门罗币？

来自Bad Packets Report的安全研究专家Troy Mursch指出，全球范围内将近5万个网站悄然被挖矿劫持版本感染。

依靠开源搜索引擎PublicWWW的扫描，这位专家发现至少存在48,953家受感染网站，其中至少7368家网站基于WordPress。

他表示，近4万个网站都感染了名为Coinhive的挖矿劫持脚本，占比达到了81%；至少3万个网站在去年11月开始就已经感染Coinhive。

调查还显示，在本次扫描结果中有2057家网站感染了Crypto-Loot,有4119家网站感染了CoinImp, 有692家网站感染了Minr以及有2160家网站感染了deepMiner。

今年2月，有报道称数千个网站被恶意代码感染，并劫持访问网站的浏览器（PC端）偷偷挖掘数字货币，具体现象表现为：

可疑广告的网页链接通过Iframe嵌入了c.html代码，而c.html中导入的c.js为Coinhive JavaScript Miner代码。

挖矿脚本基于CryptoNight挖矿算法，主要是面向门罗币的；仅在采用Chome内核的浏览器器内运行，并通过Math.random()设置50％的启动概率。

即便用户发现电脑卡顿、CPU占用率过高，怀疑有恶意程序运行并进行确认时，挖矿环境并不一定重现。数据显示该恶意代码攻击的单日访问量近百万次，中招电脑CPU资源被占用达90%以上，直接影响系统运行。

值得一提的是，Coinhive本来是合法的工具，可以为网站开发商获得收入，作为烦人的广告的替代品，但之后被滥用。

推测黑客应该是通过改变Browsealoud等浏览器插件的源代码，隐秘地将Coinhive挖矿脚本加载了使用这些插件的网页中。

挖矿脚本可以被杀毒软件或广告拦截工具检测并终止。当用户关闭浏览器时，挖矿脚本也将停止，代码仅在标签打开时运行，本地磁盘不会受到感染。

国内外杀毒软件厂商可以藉此分享一波红利了，宣传品牌的好机会啊...