黑客可利用 GitHub 被删账户和非官方 CDN 实施密币劫持
source link: https://www.linuxprobe.com/github-cdn.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
近几个月来,很多犯罪分子通过滥用 GitHub 劫持密币的活动。2017年12月,黑客将密币劫持脚本上传至 GitHub 账户并通过 GitHub.io 域名将它们下载至被黑站点上。
几个月后,犯罪分子又故技重施,不过他们并未使用 GitHub.io 域名,而是通过 GitHub 的 raw.githubusercontent.com 的默认 CDN 加载脚本。
第三次,当犯罪分子发现战术被发现且遭安全企业和软件阻止后,他们再次转换到一个新的 URL 计划并开始加载存储在 github.com/user/repository/raw/ 链接上的密币劫持脚本。
网络安全公司 Sucuri 的研究员表示,他们发现犯罪分子使用一种更加聪明的方式,他们并未滥用 GitHub,而是一款非官方的和 GitHub 相关的服务。
这款服务就是 RawGit,这款 CDN 服务无限缓存 GitHub 文件,即使是原始文件已从 GitHub 上删除或者 GitHub 用户删除账户后仍然能起作用。
Sucuri 指出,犯罪分子最近实施的密币劫持行动将 Crypto-Loot 浏览器挖矿机的某个版本上传至 GitHub 账户 jdobt,在 RawGit 内部缓冲密币劫持脚本,之后删除了原始的 GitHub 账户。
攻击者随后通过 RawGit URL 将这个密币劫持脚本内嵌在被黑站点上。该URL 通常并不被认为是可疑的,而且易遭安全软件扫描。
这种技术可以说非常聪明,因为它滥用仅为 web 开发人员知道的服务,而开发人员过去经常将 RawGit 用于 HTML 预览功能。
但是,虽然前三次利用 GitHub 域名的密币劫持活动都获得不同程度的成功,但这次貌似栽了个大跟头,原因有二:
首先,犯罪分子似乎在被黑站点内嵌 Crypto-Loot 脚本时遭到意外障碍。Sucuri 公司表示,脚本未能真正为犯罪分子加载、执行并产生利润。
第二,Sucuri 表示,RawGit 团队飞速响应滥用报告,在报告发出的几小时内拿下缓存的 URL。
这次恶意活动背后的操纵者可能认为找到一种聪明的办法,即使文件从 GitHub 删除也仍然能让脚本在线,但攻击者显然没想到 RawGit 的响应速度如此之快。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK