您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

駭客利用供應商入侵加密貨幣交易平台

資安業者ESET於11/6揭露一起利用供應鏈漏洞入侵的事件,駭客先入侵熱門的網路分析平台StatCounter,在StatCounter上植入惡意的JavaScript,藉以攻擊利用StatCounter分析流量的網站,受害者為加密貨幣交易平台gate.io。各家網站如欲利用StatCounter分析網路流量,可在需要追蹤訪客流量的網頁上嵌入www.statcounter[.]com/counter/counter.js,駭客竄改了此一JavaScript檔案,注入了惡意程式,讓程式先檢查採用該JavaScript的網址是否含有myaccount/withdraw/BTC,顯示是瞄準比特幣的交易網頁而來。ESET分析之後發現,只有gate.io擁有此一有效的通用資源識別碼(Uniform Resource Identifier, URI)。

在確定流量來自myaccount/withdraw/BTC之後,駭客會再注入另一個腳本程式,可自動將比特幣的轉帳位址改成駭客所掌控的加密貨幣錢包,由於駭客每次都會提供一個不同的錢包位址,使得研究人員無從判斷駭客的不法所得規模。gate.io在Alexa的全球流量排行榜上名列第26,251名,在中國流量排行榜上則是8,308名,若只計算加密貨幣交易平台,gate.io則排名第39名。至於StatCounter在全球則有超過200萬個合作網站,每月紀錄逾100億個網頁流量。

ESET惡意程式研究人員Matthieu Faou表示,駭客為了攻擊特定的加密貨幣交易平台,入侵了StatCounter,代表就算自身網站都會定期更新且受到良好的保護,還是可能因為最脆弱的環節而受損,在此一案例中即為外部的資源供應商,也再度顯示出這些由第三方控制的外部JavaScript程式在任何時候都可能因為不察而被變更。

Reference

資料來源:
https://www.zdnet.com/article/hackers-breach-statcounter-to-hijack-bitcoin-transactions-on-gate-io-exchange/
https://www.welivesecurity.com/2018/11/06/supply-chain-attack-cryptocurrency-exchange-gate-io/
https://www.ithome.com.tw/news/126881
技術服務中心整理

Publish Date
2018/11/19 0:00:00