供應鏈攻擊又一例:駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io

Nov 07, 2018iThome

gate.io已在官網宣佈將停用StatCounter的服務。

資安業者ESET本周揭露一起罕見的供應鏈攻擊事件,駭客先是入侵了熱門的網路分析平台StatCounter,於StatCounter上植入惡意的JavaScript,藉以攻擊利用StatCounter分析流量的網站,首個受害者為加密貨幣交易平台gate.io。

各家網站可在需要追蹤訪客流量的網頁上嵌入www.statcounter[.]com/counter/counter.js,駭客即竄改了此一JavaScript檔案,注入了惡意程式,先檢查採用該JavaScript的網址是否含有myaccount/withdraw/BTC,顯示是相準比特幣的交易網頁而來,ESET分析之後發現,只有gate.io擁有此一有效的通用資源識別碼(Uniform Resource Identifier, URI)。

在確定流量來自myaccount/withdraw/BTC之後,會再注入另一個腳本程式,可自動將比特幣的轉帳位址改成駭客所掌控的加密貨幣錢包,由於駭客每次都會提供一個不同的錢包位址,使得研究人員無從判斷駭客的不法所得規模。

gate.io在Alexa的全球流量排行榜上名列第26,251名,在中國流量排行榜上則是8,308名,若只計算加密貨幣交易平台,gate.io則排名第39名。

至於StatCounter在全球則有超過200萬個合作網站,每月紀錄逾100億個網頁流量。

ESET惡意程式研究人員Matthieu Faou表示,駭客為了攻擊特定的加密貨幣交易平台,入侵了StatCounter,代表就算網站都會定期更新且受到良好的保護,還是可能因為最脆弱的環節而受損,在此一案例中為外部的資源,也再度顯示出這些由第三方控制的外部JavaScript程式在任何時候都可能因為不察而被變更。