【災情持續擴大,全球每天新增300個挖礦網站】黑色產業覬覦瀏覽器挖礦,5億訪客不知電腦變礦工

【災情持續擴大,全球每天新增300個挖礦網站】黑色產業覬覦瀏覽器挖礦,5億訪客不知電腦變礦工

「天啊!上線8天,用量從每秒10萬次,暴增到每秒1,350萬次。」足足是135倍的爆量成長。瀏覽器挖礦服務Coinhive團隊在官網第一周營運報告中,毫不隱瞞自己的驚訝,也向數百封抱怨伺服器滿載的使用者投訴信,統一致歉。

9月14日,Coinhive剛推出了一項新型態的虛擬貨幣採礦平臺Coinhive,這是一個可在瀏覽器環境,用JavaScript執行球門羅幣(Monero,代號XMR)挖礦計算的服務。上線第一天,每秒只有10萬次挖礦雜奏運算(Hash)的API呼叫,但是,到了第8天,Coinhive平臺累計的挖礦雜奏運算呼叫次數,就爆衝到每秒1,350萬次呼叫,占了門羅幣這個全球第六大虛擬貨幣整體區塊Hash值計算量的5%,同時連上Coinhive的WebSocket連線數,多達220萬個,若以預設值每臺電腦用3個WebSocket連線數估算,相當有73萬臺電腦成了挖礦機。

原本Coinhive平臺所有系統,都部署在單一臺伺服器上,Coinhive也緊急在幾天內擴充到38臺主機規模的分散式叢集(28臺WebSocket代理伺服器、6臺Web伺服器、2臺資料庫伺服器和2臺維運用VPS),才撐住百倍爆量的需求。

但,Coinhive團隊的驚喜,旋即成了全球網民的痛苦。因為許多挖礦電腦的擁有者,並不知道自己的筆電、PC,或是手機,都成了暗中幫陌生人賺錢的挖礦機,CPU運算滿載,系統效能遲緩,甚至連打開文書處理軟體要寫份報告,都要等上好久。

9月15日,全球最大BT種子網站的使用者最先傳出災情,發現每次瀏覽海盜灣首頁,CPU使用率都會突然衝破80%,直到關閉網頁才停止。分析網頁程式碼後發現,海盜灣暗中執行Coinhive程式來挖礦,但沒有坦白告知而引用戶不滿,甚至鬧上媒體。

海盜灣事件讓Coinhive這個瀏覽器挖礦程式聲名大噪,廣大引起的關注,甚至引來了黑色產業的覬覦。趨勢科技研發部資深工程師王博榮指出,看上挖礦程式可以無風險地賺取虛擬貨幣利益,開始有黑色產業濫用Coinhive挖礦程式,將Coinhive挖礦程式惡意植入他人網頁。像趨勢科技就在9月19日時首次發現,惡名昭彰的惡意廣告組織ElTest,展開了植入Coinhive程式偷挖礦的活動,追查之下,早在9月14日,趨勢全球用戶已有人連上了暗藏Coinhive挖礦程式的網頁,最高峰是9月20日,一天內高達7萬次連線。

王博榮表示,觀測到9月底,嵌入Coinhive挖礦程式的網站,45%是英文語系,又以盜版影片網站和部落格為大宗,在臺灣也有幾個部落格上榜,不過多數網站都會首頁告知,一旦連上該網頁,就會用使用者的CPU來挖擴,若不願意提供CPU資源也可關閉,讓使用者選擇。

不過,依照趨勢科技的統計,全球每天至少增加300個藏有Coinhive挖礦程式的網站,甚至,95%以上的網站都未經用戶同意或告知,就開始偷偷挖礦。

依照趨勢的監控,黑色產業最初利用Coinhive的事件是發生在9月19日,EITest利用技術詐騙網頁的方式,讓用戶在不知情的情況下,淪為礦工,王博榮指出,這類的攻擊手法,是透過網站伺服器上執行的軟體系統,辨識造訪網頁用戶的電腦軟體漏洞,並藉機植入惡意程式。