使用 WebAssembly 的网站中有50%将其用于恶意目的

WebAssembly并没有那么受欢迎：前100万个网站中，只有1639个网站使用WebAssembly。

根据一份发表的学术研究，使用WebAssembly的网站中，大约有50%将其用于恶意目的。

众所周知，WebAssembly（wasm ）是由Mozilla、谷歌、微软和苹果四大浏览器供应商协同创建。它是一种全新的编码方式，可以在现代的网络浏览器中运行。

据了解，WebAssembly是一种低级的类汇编语言，具有紧凑的二进制格式，能以接近原生的性能运行，并为诸如C / C ++等语言提供一个编译目标，以便它们能在Web上运行。同时，它也被设计为可以与JavaScript共存，允许两者一起工作。

对网络平台而言，WebAssembly提供了一条途径，使得用各种语言编写的代码都能以接近原生的速度在Web中运行。

当初创建WebAssembly的目的是为了兼顾速度和性能。由于它是体积小且加载快的二进制格式，因此它比同等的JavaScript格式小，但执行速度却快上许多倍。

巨头背书、自身优势，让WebAssembly成为Adobe Flash的下一个版本，它使网站可以运行复杂的CPU密集型代码而无需冻结浏览器，而JavaScript却从未针对此设计或优化。

2017年，WebAssembly被首次提出，并于2019年底正式被W3C（万维网联盟）接受，成为第 4 种Web 语言。同时，它受到PC和移动设备上所有主流浏览器的支持。

WebAssembly的使用情况

2019年开展了一项学术研究项目，德国布伦瑞克工业大学的四名研究人员研究了WebAssembly在Alexa上排名前100万受欢迎网站的使用情况，来评估这种新技术的普及程度。

四天时间里，他们加载了100万个网站中每个网站的三个随机页面，测量WebAssembly的使用情况，以及每个网站运行代码所耗费的时间。

研究团队表示，它分析了Alexa排名前100万网站中947704个网站的WebAssembly使用情况，还分析了3465320个单独页面中的代码。

结果发现，有1639个站点装载了1950个Wasm模块，只有150模块是唯一的，很多站点则使用相同的Wasm模块。研究人员说，“这意味着某些模块很受欢迎，能在不同的站点上找到。另一种情况是，有346个不同的站点上存在完全相同的模块。”

两类恶意Wasm代码

研究小组更进一步，他们还针对每个网站正在加载的Wasm代码性质进行研究。他们手动分析代码，查看函数名称和嵌入的字符串，然后映射出相似代码的集群。

研究人员表示，他们分析的绝大多数代码样本都用于加密货币挖掘（占样本数的32%）、在线游戏（占样本数的29.3%）。

尽管绝大多数样本都是基于合法目的的使用，但是有两类Wasm代码本质上却是恶意的。

1. 用于加密货币挖掘的WebAssembly代码。这种类型的Wasm模块通常会在被黑客入侵的网站上发现，这是所谓的Cryptojacking攻击的一部分；
2. 涉及打包在混淆的Wasm模块中的WebAssembly代码，这些模块有意隐藏其内容。研究团队称，这些模块是恶意广告活动的一部分。

研究人员表示，这两个类别的WebAssembly代码占发现样本的38.7%，但是这些模块在他们分析的网站中使用了一半以上，主要是因为该代码经常跨多个域重复使用，很大部分是黑客操作。

研究人员预测，未来，将WebAssembly代码用于恶意目的或将变得越来越受欢迎。

不过，这仅仅是看到的冰山一角。

研究小组呼吁，网络安全公司应该在这方面加大投资，更新安全产品，从而帮助企业应对这种新技术出现的新威胁。

参考文章：

Half of the websites using WebAssembly use it for malicious purposes