曲速未来:被遗弃的推文计数器遭恶意脚本劫持

区块链安全咨询公司 曲速未来 表示：当站点所有者在其站点中使用第三方脚本时，有必要监视该脚本是否已被放弃。否则，就可能会发现不良演员出现并用恶意剧本替换剧本，然后将其显示给访问者。

这正是在2018年7月被放弃/停止的名为New Share Counts的推文计数器所发生的事情。当该服务停止时，开发人员在他们的newsharecounts.com域上发布了一条消息，指出该服务已经死亡，并为其他人提供了建议。要使用的服务。

已停止的消息

根据Sucuri的研究，超过800个站点没有收到消息，并继续将弃置的New Share Counts脚本从S3桶中嵌入到他们的站点中，http：//newsharecounts.s3-us-west-2.amazonaws [。] COM / nsc.js。然后，此脚本从newsharecounts.com加载另一个脚本，该脚本不再可访问，因此它对使用它的站点没有影响。

直到有人控制了这个S3存储桶并用恶意版本替换了nsc.js脚本。

BleepingComputer的研究显示S3存储桶被取消，然后一天后有人注册了一个同名的新存储桶并上传了恶意的nsc.js脚本。这导致该恶意脚本被仍在尝试加载原始New Share Counts服务的800个站点使用。

通过查看Archive.org上的快照，BleepingComputer能够汇总所发生的事情：

• 2018年8月4日，它展示了合法的New Share Counts剧本。

• 2018年8月5日，AWS S3存储桶已关闭，无法再访问已放弃的脚本。

• 10月3日，AWS S3存储桶被取消。

• 10月4日，一名坏演员在http：//newsharecounts.s3-us-west-2.amazonaws [。] com的同名名下注册了一个新的AWS S3存储桶，并上传了恶意版本的nsc.js脚本。

恶意脚本将访问者重定向到骗局网站

Sucuri的研究表明，恶意脚本（如下所示）会在用户尝试按下后退按钮时将用户重定向到诈骗网站。

混淆的恶意脚本

当用户加载页面时，会添加恶意事件处理程序。此处理程序将等待用户点击其设备上的“后退”按钮或尝试导航到上一页。Sucuri的研究表明。“然后它会触发一个事件，导致浏览器打开到以下目的地：m.richalsu[.]mobi/？utm_medium=0e0597838a322711594e7fff060c21106f1795d8＆utm_campaign= a-back-2＆1=这会将用户引导到一个骗局页面，而不是返回到上一页。”

您可以在下面看到将用户重定向到m.richalsu[.]mobi站点的反混淆脚本。

反混淆脚本

当用户被重定向时，他们将被带到一个骗局网站，如下所示，表明您已经赢得了Macbook，iPhone，三星Galaxy或iPad，并且您必须提供个人信息才能获得奖品。

重定向的诈骗站点

不言而喻，如果您看到上述类似的网站，则不应输入您的个人信息。此信息可用于身份盗用或其他不需要的目的。

保护自己免受脚本劫持

区块链安全咨询公司 曲速未来 提醒：虽然从CDN或第三方站点运行外部脚本有其优势，但它也会打开恶意活动的网站。这是因为脚本不在您的控制之下，并且恶意代码可能会在开发人员或攻击者不知情的情况下被添加到脚本中。

可以避免这种情况的一种方法是使用称为子资源完整性（SRI）的功能。SRI允许您为要加载的外部脚本指定哈希值，如果该脚本与哈希值不匹配，则浏览器不会加载它。

这样做可以防止被劫持的脚本被执行，但如果第三方使用合法代码更新脚本，则可能会导致问题。