近四月被植入挖矿脚本的网站数量增长725% 有些网站为广告收入故意为之

根据darkreading网站报道，安全服务供应商Cyren发布了一份最新报告，其中显示植入加密数字货币挖矿软件的网站数量正在不断增长。 

Cyren公司监测了2017年9月至2018年1月期间全球500,000个网站样本，他们发现在这段时间内运行加密数字货币脚本的网站数量增加725%。 

增长速度如此之快，而且势头似乎还有增无减

根据Cyren披露的数据显示，去年9-10月期间，不管是出于“有意”还是“无意”，植入管数字货币挖矿挖矿软件的网站数量增长了三倍，并且在去年11月达到高峰，12月几乎翻了一番，然而在今年1月再次翻倍。

简而言之，在过去的两个月时间里，总增长率已经达到了200%，这表明增长还在加速。截止今年一月，Cyren公司监测的500,000个网站中共有7281个网站部署了加密数字货币挖矿脚本，占比为1.4%。

毫无疑问，最近几个月加密数字货币价格疯涨是挖矿脚本植入的主要原因。例如，在最近四个月期间内，Cyren监控的网站中，挖掘门罗币的网站数量增长了250%。

有些网站为补充广告收入故意为之

Tinna Thuridur Sigurdardottir是Cyren公司恶意软件分析师，他表示植入加密数字货币挖矿工具的网站既有高流量站点，也有低流量站点，所以没有什么区别。他说道：

“我们看到大多数被植入数字货币挖矿工具的网站都没有进入全球排名前10000，但是也有一些排名很靠前的知名网站。”

网站可以在知情的情况下托管（植入）加密数字货币挖矿工具，但在越来越多的情况下，他们是在不知不觉中“被植入”的。

事实上，很多网站运营商开始资源在其网站上安全数字货币挖矿软件——这其实是一种补充广告收入的方式——正如Tinna Thuridur Sigurdardottir所指出的，两个知名网站Showtime和Salon Magazine就属于这种情况。

当然，有些网站会提醒用户他们正在进行挖矿活动，但许多网站都是秘密进行的。在大多数情况下，网络犯罪分子会在运营商不知情的状况下挖矿，然后“悄悄地”侵入到这些网站访客的电脑上，利用他们的计算资源挖掘数字货币。

网站部署挖矿脚本其实比你想象的简单

挖矿工具通常会消耗大量CPU资源，并可能严重影响系统性能。根据Cyren的报告指出，并非所有挖矿工具都是脚本，有些是可执行文件，可以随时被下载和安装。Tinna Thuridur Sigurdardottir表示，挖矿脚本其实非常容易安装，攻击者通常很容易就能攻破一个网站。

不仅如此，网站所有者（或攻击者）只需要在网站中嵌入两行挖矿JavaScript脚本就可以了。Sigurdardottir还举一个例子，称Coinhive甚至为网站所有者提供了通用代码，只需复制粘贴到HTML代码之中即可，剩下来的事情，就是“守株待兔”——等待访客访问网站。

值得一提的是，Sigurdardottir还特别提到近几个月网站植入挖矿软件甚至蔓延到了一些重要网站之中，除了一些WordPress站点之外，数千个政府网站也被嵌入了挖矿软件。

编辑：王雅琪