超 26.9 万个网站一个月内感染 JavaScript 恶意代码
HackerNews 编译,转载请注明出处: 网络安全研究人员披露了一个在合法网站上注入恶意 JavaScript 的大规模攻击活动。 据 Palo Alto Networks Unit 42 报告,这些恶意注入代码使用 JSFuck 进行混淆。JSFuck 指的是一种“深奥且具有教育意义的编程风格”,它仅使用有限的字符集来编写和执行代码。 由于涉及不雅用语,这家网络安全公司将该技术赋予了另一个名称“JSFireTruck”。 “已识别出多个网站被注入了使用 JSFireTruck混淆的恶意 JavaScript,该混淆主要由符号 [, ], +, $, {, } 构成,”安全研究员哈迪克·沙赫(Hardik Shah)、布拉德·邓肯(Brad Duncan)和普拉奈·查帕瓦尔(Pranay Kumar Chhaparwal)表示。“代码的混淆隐藏了其真实目的,阻碍了分析。” 进一步的分析确定,注入的代码旨在检查网站的引荐来源(“document.referrer”),该信息标识了发出请求的网页地址。 如果引荐来源是诸如 Google、Bing、DuckDuckGo、Yahoo! 或 AOL 这样的搜索引擎,JavaScript 代码就会将受害者重定向到可以传播恶意软件、漏洞利用程序、进行流量变现和传播恶意广告(malvertising)的恶意网址。 Unit 42 表示,其遥测数据显示,在 2025 年 3 月 26 日至 4 月 25 日期间,有 269,552 个网页被发现感染了使用 JS消防车技术的 JavaScript 代码。该活动在 4 月 12 日首次出现峰值,当天单日就发现了超过 5 万个受感染的网页。 “该活动的规模和隐蔽性构成了重大威胁,”研究人员说。“这些感染的普遍性表明存在一项协同努力,旨在通过攻陷合法网站作为攻击载体,以实施进一步的恶意活动。” 这一消息发布的背景是:Gen Digital 揭开了一种名为 HelloTDS 的复杂流量分发服务(Traffic Distribution Service, TDS)的面纱。该服务旨在通过注入网站的远程托管 JavaScript 代码,有条件地将网站访问者重定向到虚假验证码(CAPTCHA)页面、技术支持诈骗页面、虚假浏览器更新提示、不需要的浏览器扩展以及加密货币骗局。 该 TDS 的主要目标是将受害者设备采集指纹特征后,作为一个网关来确定要向他们投放的具体内容性质。如果用户未被认定为合适的目标,受害者会被重定向到一个良性网页。 “攻击活动的入口点是受感染或被攻击者控制的其他流媒体网站、文件共享服务,以及恶意广告(malvertising)活动。”研究员沃伊捷赫·克莱萨(Vojtěch Krejsa)和米兰·斯平卡(Milan Špinka)在本月发布的一份报告中表示。 “受害者的筛选会基于地理位置、IP地址和浏览器指纹特征;例如,通过VPN或无头浏览器的连接会被检测并拒绝。” 其中一些攻击链已被发现会提供虚假验证码页面,这些页面利用 ClickFix 策略欺骗用户运行恶意代码,从而使他们的机器感染一种名为“峰值之光”(PEAKLIGHT,也称为 Emmenhtal Loader)的恶意软件。已知该恶意软件会加载信息窃取程序,如 Lumma。 HelloTDS 基础设施的核心是使用 .top、.shop 和 .com 顶级域名来托管 JavaScript 代码,并在经过多阶段(旨在收集网络和浏览器信息)的指纹采集过程后触发重定向。 “这些虚假验证码活动背后的 HelloTDS 基础设施,展示了攻击者如何不断完善其方法,以绕过传统防护措施、逃避检测并有选择性地锁定受害者。”研究人员表示。 “通过利用复杂的指纹识别、动态域名基础设施和欺骗手段(例如模仿合法网站或向研究人员提供良性内容),这些活动既能保持隐蔽性,又能达到大规模。” 消息来源: thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文