黑客可利用 GitHub 被删账户和非官方 CDN 实施密币劫持

网络犯罪分子似乎痴迷于滥用 GitHub 以及和 GitHub 相关的服务隐藏用于被黑站点上的浏览器密币挖矿脚本

近几个月来,很多犯罪分子通过滥用 GitHub 劫持密币的活动。2017年12月,黑客将密币劫持脚本上传至 GitHub 账户并通过 GitHub.io 域名将它们下载至被黑站点上。

几个月后,犯罪分子又故技重施,不过他们并未使用 GitHub.io 域名,而是通过 GitHub 的 raw.githubusercontent.com 的默认 CDN 加载脚本。

第三次,当犯罪分子发现战术被发现且遭安全企业和软件阻止后,他们再次转换到一个新的 URL 计划并开始加载存储在 github.com/user/repository/raw/ 链接上的密币劫持脚本。

密币劫持器滥用 RawGit CDN

网络安全公司 Sucuri 的研究员表示,他们发现犯罪分子使用一种更加聪明的方式,他们并未滥用 GitHub,而是一款非官方的和 GitHub 相关的服务。

这款服务就是 RawGit,这款 CDN 服务无限缓存 GitHub 文件,即使是原始文件已从 GitHub 上删除或者 GitHub 用户删除账户后仍然能起作用。

Sucuri 指出,犯罪分子最近实施的密币劫持行动将 Crypto-Loot 浏览器挖矿机的某个版本上传至 GitHub 账户 jdobt,在 RawGit 内部缓冲密币劫持脚本,之后删除了原始的 GitHub 账户。

攻击者随后通过 RawGit URL 将这个密币劫持脚本内嵌在被黑站点上。该URL 通常并不被认为是可疑的,而且易遭安全软件扫描。

这种技术可以说非常聪明,因为它滥用仅为 web 开发人员知道的服务,而开发人员过去经常将 RawGit 用于 HTML 预览功能。

攻击者的计划落空

但是,虽然前三次利用 GitHub 域名的密币劫持活动都获得不同程度的成功,但这次貌似栽了个大跟头,原因有二:

首先,犯罪分子似乎在被黑站点内嵌 Crypto-Loot 脚本时遭到意外障碍。Sucuri 公司表示,脚本未能真正为犯罪分子加载、执行并产生利润。

第二,Sucuri 表示,RawGit 团队飞速响应滥用报告,在报告发出的几小时内拿下缓存的 URL。

这次恶意活动背后的操纵者可能认为找到一种聪明的办法,即使文件从 GitHub 删除也仍然能让脚本在线,但攻击者显然没想到 RawGit 的响应速度如此之快。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180815A0QJOG00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券