【軟體供應鏈上游出包,開發老手都難防】挖礦綁架臺灣曝光第一例,遭害苦主保哥現身說法

【軟體供應鏈上游出包,開發老手都難防】挖礦綁架臺灣曝光第一例,遭害苦主保哥現身說法

9月19日,保哥(多奇數位創意技術總監黃保翕)在臉書上,公開了自家網站所用聊天外掛工具遭植入Coinhive程式的消息,是臺灣網站遭挖礦綁架事件曝光的第一例。

「自己很難主動察覺,」人稱保哥的多奇數位創意技術總監黃保翕坦言,若不是朋友一則抱怨訊息,才讓開發經驗豐富的保哥驚覺,經營了10年的部落格竟然藏了Coinhive挖礦程式。關鍵竟是,他3個月前剛啟用的第三方外掛套件,遭有心人士植入了Coinhive挖礦程式,連帶讓他的部落格成了幫兇,殃及所有部落格訪客,一度成了挖礦綁架的受害者。

9月下旬有一天,一位瀏覽部落格的用戶,向黃保翕反應,只要開啟他的部落格The Will Will Web,瀏覽器的CPU使用率,就會衝破50%,甚至滿載,可是一離開保哥的部落格,CPU使用率馬上又會下降。

接到消息後,黃保翕開始確認CPU用量,果不其然,只有當電腦連上自己的部落格時,瀏覽器的CPU使用率就會飆高,於是,他開始清查自家網站的原始碼,試圖找出問題,花了大約10分鐘,終於找到了問題。

原來是3個月前,黃保翕在個人部落格中,增加了一個第三方提供的外掛,就是KeyReply網站釋出的Live Chat Widget(聊天外掛小工具)。在KeyReply官方釋出的程式碼中,竟然就藏了幾行呼叫Coinhive挖礦程式的JavaScript指令。

KeyReply聊天小工具是一個國外部落格常用的聊天外掛工具,因為介面簡潔,支援多種即時聊天平臺,再加上這是免費工具,因而吸引了不少關注,在臺灣也有不少文章來推薦這款KeyReply聊天小工具。

黃保翕表示,過去很少在自己的部落格中,嵌入第三方JavaScript程式碼,頂多只裝了來自Google、臉書和噗浪的外掛程式。直到3個月前,他在某個電商平臺網站上,看見KeyReply聊天小工具的介紹,當下覺得方便且美觀,才開始使用,但是沒想到自己的網站因此遭殃。發現問題之後,黃保翕馬上將KeyReply聊天小工具移除,並於9月19日在個人臉書發文,說明這起事件經過。

隔天9月20日上午,KeyReply技術長徐夢翔從朋友得知了保哥在臉書上的發文,也才發覺自家聊天小工具被植入了Coinhive挖礦程式。

徐夢翔連忙檢查原始碼才發現,他發布到CDN上的聊天小工具Javascript程式碼中,最末段,出現了兩行沒有看過的程式碼,會連接到Coinhive的網站,「最初開發的版本中,並沒有加入這兩行程式碼。」他解釋。
行動版 電腦版