国外公司用3D打印库旨在加密货币挖掘攻击
一月份对Thingiverse来说很难,因为最近一群恶意加密货币矿工的攻击现在仍然是匿名的。今天早些时候,大型3D打印文件存储库和社区作为母公司MakerBot的头条新闻发布了详细的攻击说明。
MakerBot代表表示:“加密货币热潮已经全面发挥作用,恶意的在线用户正在寻找易受攻击的页面来插入他们的加密挖掘脚本。这可能听起来更像是科幻小说的东西,但是这个骇人听闻的丑闻是一个强有力的指标,表明我们对加密货币的焦虑可能确实有一些现实的基础。
但首先,对于那些还在提到“比特币”的人来说,让我们加快速度:正式分类为虚拟或数字货币,加密货币是一种分散的数字资产,作为交换媒介,并依靠密码学(安全通信技术)保护交易,控制额外单位的生产,并验证转移。一度被认为是过去的趋势,加密货币在过去几年中大受欢迎,带来了加密货币挖掘的激增。
采矿是在现有流通中引入新硬币的过程,同时确保硬币在其上运行的网络。承担这一过程的用户被称为“矿工”,但与20世纪的前辈不同,这些矿工做的不仅仅是挖黄金,可以这么说。加密货币矿工取代银行或其他中央监管机构,在其硬币网络的控制,安全和维护中发挥着不可或缺的作用。这就是加密挖掘脚本的来源:作为矿工提取价值的主要手段。由于MakerBot在他们的声明中列举了细节,“这些脚本在后台安静地加载和操作,窃取计算机的处理资源以便为第三方挖掘加密货币。”本质上,放置在网站上的离散函数,挖掘脚本使用网站访问者的CPU。接下来,他们验证交易或“块”的集合,并且一旦块被验证,将被奖励额外的加密货币。
在Thingiverse的案例中,加密货币的矿工们锁定了该网站的评论部分,这个部分显然被认为是大规模在线社区的一个漏洞,因此成为秘密挖掘脚本的主要场所。正如今天早些时候报道的那样,MakerBot在12月下旬发现了这个漏洞,随后发现恶意的密码挖掘代码被插入了大约100件事情的评论中。
在他们的声明中,Makerbot代表很快将威胁降至最低,并指出脚本从未访问过用户的私人数据。他们没有错。由于一旦用户访问嵌入了加密挖掘脚本的网站,挖掘过程就开始,因此不需要感染用户的计算机;挖掘所需要的只是浏览器启用了JavaScript。 Thingiverse注释部分中的情况就是这样,通常用于嵌入建设性内容,但在这种情况下为“不良参与者”提供了一个插入挖掘脚本的平台。
尽管如此,Thingiverse的开发人员迅速采取了行动来消除这一攻击。 Makerbot说:“他们禁止或警告罪犯,最近部署了一个修补程序,防止恶意iframe嵌入像crypto-mining这样的东西,但仍允许在评论部分中嵌入视频和文档。”
底线? Thingiverse将继续像以前一样运行,但用户界面没有明显的变化,尽管网站开发者已经发布了一个建议,即用户可以查看应用程序和浏览器插件,这些应用程序和浏览器插件主动阻止加密挖掘脚本加载。但有一件事是肯定的:作为2018年第一次重大网络攻击的受害者,Thingiverse和Makerbot震动。尽管如此,网站代表向用户保证,他们将“继续保护和教育用户,并为能够为整个3D打印社区管理如此重要的资源感到自豪”。
编译自:3ders.org
编译自:3ders.org