供應鏈攻擊又一例：駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io

資安業者ESET本周揭露一起罕見的供應鏈攻擊事件，駭客先是入侵了熱門的網路分析平台StatCounter，於StatCounter上植入惡意的JavaScript，藉以攻擊利用StatCounter分析流量的網站，首個受害者為加密貨幣交易平台gate.io。

各家網站可在需要追蹤訪客流量的網頁上嵌入www.statcounter[.]com/counter/counter.js，駭客即竄改了此一JavaScript檔案，注入了惡意程式，先檢查採用該JavaScript的網址是否含有myaccount/withdraw/BTC，顯示是相準比特幣的交易網頁而來，ESET分析之後發現，只有gate.io擁有此一有效的通用資源識別碼（Uniform Resource Identifier, URI）。

在確定流量來自myaccount/withdraw/BTC之後，會再注入另一個腳本程式，可自動將比特幣的轉帳位址改成駭客所掌控的加密貨幣錢包，由於駭客每次都會提供一個不同的錢包位址，使得研究人員無從判斷駭客的不法所得規模。

gate.io在Alexa的全球流量排行榜上名列第26,251名，在中國流量排行榜上則是8,308名，若只計算加密貨幣交易平台，gate.io則排名第39名。

至於StatCounter在全球則有超過200萬個合作網站，每月紀錄逾100億個網頁流量。

ESET惡意程式研究人員Matthieu Faou表示，駭客為了攻擊特定的加密貨幣交易平台，入侵了StatCounter，代表就算網站都會定期更新且受到良好的保護，還是可能因為最脆弱的環節而受損，在此一案例中為外部的資源，也再度顯示出這些由第三方控制的外部JavaScript程式在任何時候都可能因為不察而被變更。