國外公司用3D打印庫旨在加密貨幣挖掘攻擊
一月份對Thingiverse來說很難,因?yàn)樽罱蝗簮阂饧用茇泿诺V工的攻擊現(xiàn)在仍然是匿名的。今天早些時候,大型3D打印文件存儲庫和社區(qū)作為母公司MakerBot的頭條新聞發(fā)布了詳細(xì)的攻擊說明。
MakerBot代表表示:“加密貨幣熱潮已經(jīng)全面發(fā)揮作用,惡意的在線用戶正在尋找易受攻擊的頁面來插入他們的加密挖掘腳本。這可能聽起來更像是科幻小說的東西,但是這個駭人聽聞的丑聞是一個強(qiáng)有力的指標(biāo),表明我們對加密貨幣的焦慮可能確實(shí)有一些現(xiàn)實(shí)的基礎(chǔ)。
但首先,對于那些還在提到“比特幣”的人來說,讓我們加快速度:正式分類為虛擬或數(shù)字貨幣,加密貨幣是一種分散的數(shù)字資產(chǎn),作為交換媒介,并依靠密碼學(xué)(安全通信技術(shù))保護(hù)交易,控制額外單位的生產(chǎn),并驗(yàn)證轉(zhuǎn)移。一度被認(rèn)為是過去的趨勢,加密貨幣在過去幾年中大受歡迎,帶來了加密貨幣挖掘的激增。
采礦是在現(xiàn)有流通中引入新硬幣的過程,同時確保硬幣在其上運(yùn)行的網(wǎng)絡(luò)。承擔(dān)這一過程的用戶被稱為“礦工”,但與20世紀(jì)的前輩不同,這些礦工做的不僅僅是挖黃金,可以這么說。加密貨幣礦工取代銀行或其他中央監(jiān)管機(jī)構(gòu),在其硬幣網(wǎng)絡(luò)的控制,安全和維護(hù)中發(fā)揮著不可或缺的作用。這就是加密挖掘腳本的來源:作為礦工提取價值的主要手段。由于MakerBot在他們的聲明中列舉了細(xì)節(jié),“這些腳本在后臺安靜地加載和操作,竊取計算機(jī)的處理資源以便為第三方挖掘加密貨幣。”本質(zhì)上,放置在網(wǎng)站上的離散函數(shù),挖掘腳本使用網(wǎng)站訪問者的CPU。接下來,他們驗(yàn)證交易或“塊”的集合,并且一旦塊被驗(yàn)證,將被獎勵額外的加密貨幣。
在Thingiverse的案例中,加密貨幣的礦工們鎖定了該網(wǎng)站的評論部分,這個部分顯然被認(rèn)為是大規(guī)模在線社區(qū)的一個漏洞,因此成為秘密挖掘腳本的主要場所。正如今天早些時候報道的那樣,MakerBot在12月下旬發(fā)現(xiàn)了這個漏洞,隨后發(fā)現(xiàn)惡意的密碼挖掘代碼被插入了大約100件事情的評論中。
在他們的聲明中,Makerbot代表很快將威脅降至最低,并指出腳本從未訪問過用戶的私人數(shù)據(jù)。他們沒有錯。由于一旦用戶訪問嵌入了加密挖掘腳本的網(wǎng)站,挖掘過程就開始,因此不需要感染用戶的計算機(jī);挖掘所需要的只是瀏覽器啟用了JavaScript。 Thingiverse注釋部分中的情況就是這樣,通常用于嵌入建設(shè)性內(nèi)容,但在這種情況下為“不良參與者”提供了一個插入挖掘腳本的平臺。
盡管如此,Thingiverse的開發(fā)人員迅速采取了行動來消除這一攻擊。 Makerbot說:“他們禁止或警告罪犯,最近部署了一個修補(bǔ)程序,防止惡意iframe嵌入像crypto-mining這樣的東西,但仍允許在評論部分中嵌入視頻和文檔。”
底線? Thingiverse將繼續(xù)像以前一樣運(yùn)行,但用戶界面沒有明顯的變化,盡管網(wǎng)站開發(fā)者已經(jīng)發(fā)布了一個建議,即用戶可以查看應(yīng)用程序和瀏覽器插件,這些應(yīng)用程序和瀏覽器插件主動阻止加密挖掘腳本加載。但有一件事是肯定的:作為2018年第一次重大網(wǎng)絡(luò)攻擊的受害者,Thingiverse和Makerbot震動。盡管如此,網(wǎng)站代表向用戶保證,他們將“繼續(xù)保護(hù)和教育用戶,并為能夠?yàn)檎麄€3D打印社區(qū)管理如此重要的資源感到自豪”。
編譯自:3ders.org
編譯自:3ders.org