國外公司用3D打印庫旨在加密貨幣挖掘攻擊
一月份對Thingiverse來說很難,因為最近一群惡意加密貨幣礦工的攻擊現在仍然是匿名的。今天早些時候,大型3D打印文件存儲庫和社區作為母公司MakerBot的頭條新聞發布了詳細的攻擊說明。
MakerBot代表表示:“加密貨幣熱潮已經全面發揮作用,惡意的在線用戶正在尋找易受攻擊的頁面來插入他們的加密挖掘腳本。這可能聽起來更像是科幻小說的東西,但是這個駭人聽聞的丑聞是一個強有力的指標,表明我們對加密貨幣的焦慮可能確實有一些現實的基礎。
但首先,對于那些還在提到“比特幣”的人來說,讓我們加快速度:正式分類為虛擬或數字貨幣,加密貨幣是一種分散的數字資產,作為交換媒介,并依靠密碼學(安全通信技術)保護交易,控制額外單位的生產,并驗證轉移。一度被認為是過去的趨勢,加密貨幣在過去幾年中大受歡迎,帶來了加密貨幣挖掘的激增。
采礦是在現有流通中引入新硬幣的過程,同時確保硬幣在其上運行的網絡。承擔這一過程的用戶被稱為“礦工”,但與20世紀的前輩不同,這些礦工做的不僅僅是挖黃金,可以這么說。加密貨幣礦工取代銀行或其他中央監管機構,在其硬幣網絡的控制,安全和維護中發揮著不可或缺的作用。這就是加密挖掘腳本的來源:作為礦工提取價值的主要手段。由于MakerBot在他們的聲明中列舉了細節,“這些腳本在后臺安靜地加載和操作,竊取計算機的處理資源以便為第三方挖掘加密貨幣。”本質上,放置在網站上的離散函數,挖掘腳本使用網站訪問者的CPU。接下來,他們驗證交易或“塊”的集合,并且一旦塊被驗證,將被獎勵額外的加密貨幣。
在Thingiverse的案例中,加密貨幣的礦工們鎖定了該網站的評論部分,這個部分顯然被認為是大規模在線社區的一個漏洞,因此成為秘密挖掘腳本的主要場所。正如今天早些時候報道的那樣,MakerBot在12月下旬發現了這個漏洞,隨后發現惡意的密碼挖掘代碼被插入了大約100件事情的評論中。
在他們的聲明中,Makerbot代表很快將威脅降至最低,并指出腳本從未訪問過用戶的私人數據。他們沒有錯。由于一旦用戶訪問嵌入了加密挖掘腳本的網站,挖掘過程就開始,因此不需要感染用戶的計算機;挖掘所需要的只是瀏覽器啟用了JavaScript。 Thingiverse注釋部分中的情況就是這樣,通常用于嵌入建設性內容,但在這種情況下為“不良參與者”提供了一個插入挖掘腳本的平臺。
盡管如此,Thingiverse的開發人員迅速采取了行動來消除這一攻擊。 Makerbot說:“他們禁止或警告罪犯,最近部署了一個修補程序,防止惡意iframe嵌入像crypto-mining這樣的東西,但仍允許在評論部分中嵌入視頻和文檔。”
底線? Thingiverse將繼續像以前一樣運行,但用戶界面沒有明顯的變化,盡管網站開發者已經發布了一個建議,即用戶可以查看應用程序和瀏覽器插件,這些應用程序和瀏覽器插件主動阻止加密挖掘腳本加載。但有一件事是肯定的:作為2018年第一次重大網絡攻擊的受害者,Thingiverse和Makerbot震動。盡管如此,網站代表向用戶保證,他們將“繼續保護和教育用戶,并為能夠為整個3D打印社區管理如此重要的資源感到自豪”。
編譯自:3ders.org
編譯自:3ders.org