“六个字符构成的隐形陷阱,正在劫持你的浏览器。”
PS:有内网web自动化需求可以私信
01
—
导语
网络安全研究人员近日揭开了一起规模惊人的网络攻击活动:在短短一个月内,超过26.9万个合法网站被植入一种名为JSFireTruck的高度混淆JavaScript恶意代码。
当用户通过谷歌、必应等主流搜索引擎访问这些受感染网站时,他们的浏览器会被完全劫持,重定向至精心设计的钓鱼网站和虚假下载页面。这场攻击自2025年4月12日起呈现爆发式增长,至今仍在持续威胁着全球网民的安全。
一.攻击规模:一场精心策划的全球性入侵
根据Palo Alto Networks的遥测数据,在2025年3月26日至4月25日期间,多达269,552个网页被检测出感染了使用JSFireTruck混淆技术的恶意代码。受感染的网站数量在4月12日后急剧攀升,表明攻击者正在协调行动,最大化其恶意基础设施的覆盖范围。
这一大规模攻击活动的显著特点是利用合法网站作为攻击跳板。黑客通过入侵正常运行的网站,注入隐蔽的恶意脚本,将毫无戒备的访问者引向欺诈内容。这种“借船出海”的策略大幅提高了攻击的成功率。
二.JSFireTruck:六个字符构成的隐形杀手
JSFireTruck混淆技术代表了一种黑客工具的进化飞跃,其根源可追溯至2009年开发的JJEncode方法。但JSFireTruck将混淆所需的字符集从18个ASCII字符大幅缩减至仅6个符号:[、]、(、)、!和+。
这种精简使混淆代码更难被基于模式的安全系统检测,同时保持完整功能3。其技术核心在于利用JavaScript的类型强制转换特性,从看似无意义的字符组合生成有效代码。
例如:
-
表达式
+[]会转换为数值0 -
+!![]则通过布尔操作和类型强制转换为数字
在感染网站上,注入代码通常表现为一段看似随机的字符串:$=String.fromCharCode(118,61,119,46,104,112,40,39,35,41,49,59,10,82,109,120...)这种多层混淆方法结合了JSFireTruck与其他编码技术,将恶意负载深藏其中。
三.精密攻击机制:搜索引擎用户成为首要目标
恶意脚本包含精密的检测机制,专门识别来自搜索引擎的访问者。解码后的JavaScript包含针对Google、Bing、DuckDuckGo、Yahoo和AOL搜索引擎流量的引荐检查代码。
当检测到符合条件的流量时,脚本会动态创建覆盖整个浏览器窗口的iframe元素,实现完全会话劫持1。这一技术细节值得关注:
iframe {
z-index: 30000;
width: 100%;
height: 100%;
position: fixed;
left: 0;
top: 0;
}
通过上述CSS属性设置,iframe形成全屏覆盖层,彻底阻止用户与原始网站内容交互。这使得攻击者能将受害者无缝重定向至托管虚假软件下载、钓鱼页面等欺诈内容的恶意域名,同时保持访问合法网站的表象。
四.全球威胁全景:不止JSFireTruck的危险版图
近期网络安全环境日趋复杂,除JSFireTruck攻击外,还出现多种新型威胁:
-
DeepSeek仿冒陷阱:伴随人工智能平台DeepSeek的热度,黑客大规模注册仿冒域名(如“deepsek”、“DepScek”),传播伪装成DeepSeek应用的Windows和安卓恶意程序,诱导用户支付会员费或窃取敏感信息。
-
“银狐”木马变种:国家计算机病毒应急处理中心捕获到针对我国财务和税务工作人员的新变种,通过伪装成“税务稽查”“所得税汇算清缴”等主题的钓鱼文件传播,实施远程控制、窃密和挖矿活动。
-
全球恶意基础设施:国家网络安全通报中心连续通报多批境外恶意网址和IP,归属地主要涉及美国、德国、荷兰、法国等地区。这些地址与RemCos、AsyncRAT、NjRAT等远程访问木马及Mirai僵尸网络相关联。
五.全面防护指南:四道防线抵御威胁
面对日益复杂的网络威胁格局,安全专家建议采取以下防护措施:
-
网站管理员:定期审查网站HTML和JavaScript代码,特别关注包含
[ ] ( ) ! +字符组合的可疑脚本;部署实时监控系统检测异常修改;保持所有内容管理系统和插件处于最新状态。 -
普通用户:避免点击搜索引擎结果中的可疑链接;警惕全屏覆盖页面——遇到突然覆盖整个窗口的内容时立即关闭标签;使用浏览器扩展程序阻止可疑脚本执行。
-
下载安全准则:仅从官方网站和正规应用商店下载软件;警惕社交媒体分享的来历不明链接;不安装非正规渠道来源的应用程序。
-
企业防护升级:在网络出口防护设备中更新拦截规则;部署网络流量检测设备分析异常活动;建立终端安全运营体系,实现“体系化防御、数字化运营”。
截至2025年6月13日,这场利用JSFireTruck混淆技术的大规模攻击仍在持续。安全研究人员观察到,攻击者正在调整其重定向策略和混淆技术,以规避新部署的安全防护措施。
全球网络安全版图正经历深刻变化。无论是JSFireTruck的精简字符攻击,还是针对热点应用的仿冒陷阱,都表明黑客策略更加聚焦于利用用户信任和技术盲点。在这个数字战场上,持续警惕和体系化防御已成为每个人生存的必需品。
免责声明:
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助
第十二条: 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条: 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
原文始发于微信公众号(道玄网安驿站):超26.9万个网站沦陷!JSFireTruck恶意脚本席卷全球网络
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论