圖片來源: 

賽門鐵克

資安業者賽門鐵克(Symantec)於本周警告,基於瀏覽器的加密貨幣採礦程式在今年死灰復燃,即使現在一般的廣告封鎖程式都能防堵目前最知名的Coinhive的採礦程式,但明年可望有更多類似Coinhive的惡意採礦程式現身。

Coinhive是在今年9月發表了基於瀏覽器的採礦服務,它將採礦功能打包成JavaScript程式,網站業者只要登入該服務,並於網站上嵌入JavaScript程式碼,即可利用造訪者的CPU資源開採門羅幣(Monero,XMR),Coinhive再依照每個網站所貢獻的資源分配門羅幣,被網站業者視為是個取代廣告的好收入。

事實上,透過瀏覽器以開採造訪者電腦資源的作法最早可追溯到2011年的Bitcoin Plus,繼之為2013年的Tidbit專案,有鑑於當時的加密貨幣價值不高、流通性不足,而Tidbit則因非法存取使用者CPU資源而遭到調查與抨擊,再加上ASIC專業挖礦機的興起,最終埋沒了瀏覽器採礦服務。

然而,今非昔比,比特幣在2011年6月創下的高峰只有30美元,2013年全球加密貨幣的市值也只有15億美元,現在比特幣的價格為15,573美元,是當年的500倍,如雨後春筍般出現的上千種加密貨幣也讓全球加密貨幣市值突破1,660億美元,高漲的加密貨幣價格與聚沙成塔的效應讓奠基在瀏覽器與PC資源的採礦服務死灰復燃。

根據Coinhive的統計,該公司採礦池的哈希率(hash rate,採礦效能)在推出服務的一周內就從零成長到13.5 MH/s,於9月20日增加到260 MH/s,短短不到3周的時間,便佔了門羅幣整體採礦效能的5%,而今年門羅幣的價值也從13美元竄升到400美元。

儘管Coinhive建議採用該公司採礦服務的網站業者應明白向使用者揭露採礦意圖,然而,絕大多數的網站都秘密行使了該功能,從海盜灣(The Pirate Bay)、Chrome擴充程式SafeBrowseAndroid程式,到其他數百個網站。提供WordPress網站安全外掛程式的 Wordfence亦於本周警告,駭客正透過暴力破解法,以每小時攻擊19萬個WordPress網站的速度,企圖於被駭網站上嵌入門羅幣採礦程式。

賽門鐵克指出,Coinhive並未獨享基於瀏覽器的採礦市場,隨著加密貨幣利益的增加,如Crypto Loot與JSEcoin等各種新興的採礦者及採礦工具亦隨之出爐,此外,相較去年只有26款Android程式暗藏採礦工具,今年已增加到35款,成長了34%,因而預期明年將出現惡意採礦程式的大爆發。


Advertisement

更多 iThome相關內容