“加密劫持”是一种利用受害者电脑挖掘加密货币的黑客程序，它近期才出现，并且杀伤力不容忽视。黑客利用它攻击了数百个流行网站以挖掘门罗币。

一种复杂的犯罪方式

仅在2018年，就有成千上万的用户成为“加密劫持”的受害者。令人惊讶的是，由于黑客的手段相当之复杂，比如通过主流网站的山寨克隆版来诱骗用户和劫持计算设备。

5月5日，网络安全研究机构Bad Packets Report研究员Troy Mursch发现，有超过300个网站遭受黑客攻击，被安装恶意脚本Coinhive，以利用旧版本内容管理系统中的漏洞来挖掘门罗币。

遭受攻击的网站多属于政府机构或者高校，包括墨西哥奇瓦瓦州政府网站和圣地亚哥动物园网站。之后相关部门开始展开网络安全行动。

Bad Packets Report：恶意脚本Coinhive在圣地亚哥动物园网站上被发现。

Troy Mursch在被入侵网站的脚本语言JavaScript库中发现了类似的代码。该代码包含在“/misc/jquery.once.js?v=1.2”中，显示了攻击者恶意脚本Coinhive的域名，就是在这儿Troy Mursch发现了当前流行挖掘软件更改后的版本。

后来，通过反查IP-checker网站 WhoIs上可疑的域名地址，Mursch找到了与黑客相关的电子邮件地址。

Bad Packets Report：通过查看securitytrails上的历史DNS劫持记录，我们发现网站http://vuuwd.com最近参与了门罗币的挖掘活动。因此，在当前的“加密劫持”事件中恶意脚本Coinhive有被继续利用的趋势。

被入侵的网站包括俄亥俄州的马里恩市、阿勒颇大学和墨西哥国家劳工关系委员会。

通过JavaScript插入恶意脚本Coinhive

Troy Mursch认为，“加密劫持”发生的根本原因是，基于脚本语言JavaScript的应用程序容易遭受恶意脚本Coinhive的入侵。

Troy Mursch说道:

Coinhive和其他“加密劫持”恶意软件是通过JavaScript完成网站攻击的。每一个现代化设备和浏览器都可以运行JavaScript，因此，每个人都可以挖掘加密货币。不过这也是容易感染Coinhive的弱点。在这种特殊情况下，Drupal用户需要尽快更新。

“加密劫持”事件数量与数字货币价值一同增长

近日软件供应商Shasta QA称数字货币价值的增长正伴随着“加密劫持”事件的增加。Shasta QA在新闻稿中指出，加密货币价格在过去几年中尤其是过去几个月迅速增长。这促使加密矿工采取隐蔽手段开采加密货币。根据Shasta的说法，2017年年底，随着加密货币挖掘脚本的普及，利用用户CPU和网络浏览器来挖掘数字货币的“加密劫持”事件也随之增加。

如何检测恶意脚本

根据Shasta QA的说法，对感染恶意JavaScript的网站进行检测比大家想象中容易得多。如Firefox和Chrome扩展程序之类的一些网络浏览器，可以通过使用AdGuard或No Coin等附件来检测和阻止这些类型的“加密劫持”脚本。