資安業者ESET於11/6揭露一起利用供應鏈漏洞入侵的事件,駭客先入侵熱門的網路分析平台StatCounter,在StatCounter上植入惡意的JavaScript,藉以攻擊利用StatCounter分析流量的網站,受害者為加密貨幣交易平台gate.io。各家網站如欲利用StatCounter分析網路流量,可在需要追蹤訪客流量的網頁上嵌入www.statcounter[.]com/counter/counter.js,駭客竄改了此一JavaScript檔案,注入了惡意程式,讓程式先檢查採用該JavaScript的網址是否含有myaccount/withdraw/BTC,顯示是瞄準比特幣的交易網頁而來。ESET分析之後發現,只有gate.io擁有此一有效的通用資源識別碼(Uniform Resource Identifier, URI)。
在確定流量來自myaccount/withdraw/BTC之後,駭客會再注入另一個腳本程式,可自動將比特幣的轉帳位址改成駭客所掌控的加密貨幣錢包,由於駭客每次都會提供一個不同的錢包位址,使得研究人員無從判斷駭客的不法所得規模。gate.io在Alexa的全球流量排行榜上名列第26,251名,在中國流量排行榜上則是8,308名,若只計算加密貨幣交易平台,gate.io則排名第39名。至於StatCounter在全球則有超過200萬個合作網站,每月紀錄逾100億個網頁流量。
ESET惡意程式研究人員Matthieu Faou表示,駭客為了攻擊特定的加密貨幣交易平台,入侵了StatCounter,代表就算自身網站都會定期更新且受到良好的保護,還是可能因為最脆弱的環節而受損,在此一案例中即為外部的資源供應商,也再度顯示出這些由第三方控制的外部JavaScript程式在任何時候都可能因為不察而被變更。