超過4000個網站已經通過受到威脅的第三方JavaScript庫感染了cryptomining惡意軟件。
站點可以確保通過使用HTML腳本標記中的“子資源完整性”屬性,第三方庫不會被篡改。
根據安全研究人員斯科特·赫爾梅 的說法,在美國,英國和澳大利亞的政府網站在第三方服務遭到破壞之後,一直在為遊客提供惡意軟件服務。被Coinhive cryptocurrency礦工感染。
在英國,受影響的網站包括信息專員辦公室,學生貸款公司和英國國民健康服務(NHS)蘇格蘭;在美國,uscourts.gov 並在澳大利亞昆士蘭州政府門戶網站。
所有這些網站使用的受損服務是 Browsealoud JavaScript 庫,這使得通過屏幕閱讀和翻譯工具訪問網站成為可能。
Helme說,事件證明了沒有正確保護加載到第三方託管的 JavaScript 庫中的頁面的危險,特別是因為這些庫是誘惑黑客的目標。
他寫道:“如果你想在1000多個網站上加載一個加密礦工,你不會攻擊1000多個網站,你會攻擊他們全部加載內容的網站。