安全研究機構 c/side 披露,多達 3,500 個網站被入侵並植入了「瀏覽器內挖礦」程式,攻擊流量遍佈全球,用戶在毫無察覺的情況下,竟然在幫駭客挖掘加密貨幣!
(前情提要:冷錢包Trezor警告:駭客假冒官方信進行釣魚攻擊,切勿分享錢包私鑰)
(背景補充:巴西央行1.4億鎂儲備金被駭!贓款換成比特幣、駭客成本僅2,760美元,服務供應商成破口)
打開購物頁面或新聞網站的瞬間,你以為你的電腦只在為自己工作,卻沒想到電腦背後的 CPU 正默默為陌生人打工。根據安全研究機構 c/side 本月稍早披露,多達 3,500 個網站被入侵並植入了「瀏覽器內挖礦」程式,攻擊流量遍佈全球,但用戶幾乎無從察覺。
駭客攻擊手法揭秘
c/side 研究人員揭露,他們發現了隱藏在混淆的 JavaScript 中的挖礦腳本,該程式會評估設備的運算能力並生成後台 Web Workers,來並行執行挖礦任務但不會發出任何警報。
更重要的是,該活動還被發現,會利用 WebSockets 從外部伺服器獲取挖礦任務,以便根據設備功能動態調整挖礦強度,並相應地限制資源消耗以保持隱蔽性。
這種方法的最終結果是,用戶在瀏覽受劫持網站時,會在不知情的情況下挖掘加密貨幣,駭客因此在未經用戶知情或同意的情況下,將他們的電腦變成隱藏的加密貨幣礦機。安全研究員 Himanshu Anand 直言:
這是一種隱形挖礦程式,其設計目的是避開用戶和安全工具的雷達探測。
個人代價:網路資源、電力與隱私的悄悄流失
對一般使用者來說,第一時間損失的可能不會是自己銀行帳戶裡的存款,但這會導致嚴重的電腦反應遲鈍、風扇長時間狂轉、行動裝置電池加速耗盡問題。長期運算負荷可能將縮短硬體的使用壽命,電費也跟著被抬高。更嚴重的是,被植入挖礦腳本的網站往往會同時散布其他惡意程式,例如信用卡資料竊取腳本,這最終會讓個人資料、支付資訊暴露在風險邊緣。
企業衝擊:品牌信任與合規成本遽增
對網站經營者而言,網站遭駭客挾持不僅傷害了其品牌形象,也可能引發監管調查、甚至面臨訴訟。另外,為對抗駭客劫持,營運團隊還需修復主機、更新外掛、追蹤惡意腳本來源,這些都需要投入人力與時間。且一旦用戶被資料外洩,企業還得面對額外罰款。
防禦路徑:工具、流程與教育缺一不可
個人層面,可透過防毒軟體與瀏覽器外掛阻擋已知挖礦腳本,同時留意設備異常發熱與耗電情況。同時,定期更新作業系統與應用程式,也有助於堵住被濫用的漏洞。
企業則需全面盤點該問題,並建立快速修補機制,也可導入行為分析或 AI 偵測系統,以便能夠即時標示網路異常流量。
最後,持續的教育與學習也是對抗網路威脅的一大關鍵,資安問題更像一場耐力賽,唯有用戶與企業同步升級「數位免疫系統」,才能有效保住運算資源和維護信任體系。
📍相關報導📍
微軟聯手FBI打擊北韓駭客詐騙!凍結3,000個帳號,抓出美國「打工仔共犯」
