黑客利用JSFireTruck混淆技术入侵约27万个网页并植入恶意JavaScript

网络安全研究人员发现一起复杂的恶意软件攻击活动，攻击者利用先进的JavaScript混淆技术入侵数百个合法网站，将毫无戒备的访问者重定向至恶意内容。该活动在2025年3月至4月期间感染了超过26.9万个网页，采用JSFireTruck混淆技术的变种将恶意代码隐藏在看似无害的网站元素中。

攻击规模与持久性

此次攻击活动展现出显著的持久性和规模，攻击者成功向合法网站注入混淆后的JavaScript代码，构建起庞大的受感染平台网络。恶意脚本专门检测来自主流搜索引擎的访问者，随后将其重定向至虚假下载页面和钓鱼网站等欺诈内容。2025年4月12日起，该活动出现明显激增，表明攻击者正协调行动以最大化恶意基础设施的影响范围。

Palo Alto Networks分析师通过遥测系统识别出该活动，发现受感染网站普遍采用JSFireTruck混淆技术。研究人员指出，该技术代表早期JavaScript混淆方法的演进，仅用6个ASCII字符即可构建能规避传统安全检测机制的复杂恶意代码。

HTML页面中的注入代码仅包含!+符号和数字（来源：Palo Alto Networks）

技术原理与代码注入

本次攻击采用的JSFireTruck混淆技术基于2009年开发的JJEncode方法，但将混淆所需字符集从18个ASCII字符大幅缩减至6个：[、]、(、)、!和+。这种精简使混淆代码更难被基于模式的安全系统检测，同时保持完整功能。

恶意代码注入过程始于攻击者入侵合法网站，将混淆后的JavaScript插入HTML页面。典型注入表现为看似随机的字符串，例如受感染网站出现的示例：$=String.fromCharCode(118,61,119,46,104,112,40,39,35,41,49,59,10,82,109,120...)。

以String.fromCharCode函数开头的注入代码示例（来源：Palo Alto Networks）

该代码片段展示了多层混淆方法，结合JSFireTruck与其他编码技术进一步隐藏恶意负载。

高级混淆机制与负载投递

本次攻击的技术先进性体现在利用JavaScript的类型强制转换特性，从看似无意义的字符组合生成有效代码。混淆技术通过JavaScript的自动类型转换，将有限字符集转化为功能代码。例如表达式+[]会转换为数值0，而+!![]则通过布尔操作和类型强制转换为数字1。

恶意脚本采用精密检测机制识别来自搜索引擎的访问者后才会执行负载。解码后的JavaScript包含专门针对Google、Bing、DuckDuckGo、Yahoo和AOL搜索引擎流量的引荐检查代码。当检测到此类流量时，脚本会动态创建覆盖整个浏览器窗口的iframe元素，完全劫持用户浏览会话。

解码后的JavaScript代码显示将被注入HTML页面的iframe代码（来源：Palo Alto Networks）

负载投递机制涉及注入具有特定CSS属性的iframe代码，这些属性设计用于完全覆盖合法网站内容。注入的iframe使用z-index: 30000、width: 100%、height: 100%以及定位属性left: 0; top: 0创建全屏覆盖层，阻止用户与原始网站内容交互。该技术使攻击者能将受害者重定向至托管虚假软件下载、钓鱼页面等欺诈内容的恶意域名，同时保持访问合法网站的表象。

参考来源：

Threat Actors Compromise 270+ Legitimate Websites With Malicious JavaScript Using JSFireTruck Obfuscation

原文始发于微信公众号（船山信安）：黑客利用JSFireTruck混淆技术入侵约27万个网页并植入恶意JavaScript