点击上方蓝字关注我们
近期,网络安全领域惊现大规模恶意攻击事件,据报道,一种名为 JSFireTruck 的 JavaScript 恶意软件在短短一个月内,竟感染了超过 26.9 万个网站,其传播速度和破坏力令人咋舌。
JSFireTruck:隐藏在代码中的 “潜伏者”
网络安全公司 Palo Alto Networks 旗下的 Unit 42 团队发现,这场大规模攻击的罪魁祸首,是通过恶意 JavaScript 注入合法网站的 JSFireTruck 恶意软件。该恶意软件采用了一种名为 JSFuck 的混淆技术 —— 这是一种仅用[、]、+、$、{、}等有限字符编写和执行代码的 “神秘” 编程风格,因其代码中包含不当内容,Unit 42 将其命名为 JSFireTruck。
安全研究员 Hardik Shah、Brad Duncan 和 Pranay Kumar Chhaparwal 指出:“许多网站被注入了使用 JSFireTruck 混淆技术的恶意 JavaScript 代码,这种混淆掩盖了代码的真实目的,极大地增加了分析难度。”
攻击机制:精准定位,定向收割
进一步分析发现,这些注入的恶意代码会监测网站的document.referrer(即来源页面地址)。一旦检测到来源是谷歌、必应、 DuckDuckGo 等搜索引擎,代码就会将用户重定向到恶意 URL,进而实施恶意软件传播、漏洞利用、流量变现和恶意广告投放等攻击行为。
Unit 42 的数据显示,在 2025 年 3 月 26 日至 4 月 25 日期间,共有 269,552 个网页感染了 JSFireTruck 恶意代码。值得注意的是,4 月 12 日当天感染量激增,单日新增感染网页超 5 万个,攻击规模可见一斑。
研究员强调:“这场攻击的规模和隐蔽性构成了重大威胁,广泛的感染范围表明,这是一场有组织的、以合法网站为攻击载体的恶意行动。”
关联威胁:HelloTDS 流量分发服务的 “协同作恶”
无独有偶,近期曝光的 HelloTDS 流量分发服务(TDS)也与之形成了 “攻击链条”。Gen Digital 的研究显示,HelloTDS 通过向网站注入远程托管的 JavaScript 代码,有条件地将访问者重定向到虚假验证码页面、技术支持骗局、虚假浏览器更新、恶意浏览器扩展和加密货币骗局等。
该服务的核心目标是通过设备指纹识别技术,精准筛选攻击目标:若用户被判定为 “非目标”,则会被重定向到正常网页以掩盖攻击意图。其攻击入口包括被感染或攻击者控制的流媒体网站、文件共享服务以及恶意广告活动。
研究员 Vojtěch Krejsa 和 Milan Špinka 在报告中指出:“攻击者会根据地理位置、IP 地址和浏览器指纹对受害者进行评估,甚至能检测并拒绝通过 VPN 或无头浏览器的连接。” 部分攻击链还会利用虚假验证码页面,通过 “ClickFix” 策略诱使用户运行恶意代码,进而安装如 PEAKLIGHT(又称 Emmenhtal Loader)等恶意软件,这些软件会窃取用户信息,如 Lumma 信息窃取器。
HelloTDS 的基础设施主要使用.top、.shop和.com顶级域名来托管 JavaScript 代码,并通过多阶段指纹识别过程收集网络和浏览器信息,以实现精准攻击。研究员表示:“HelloTDS 背后的攻击基础设施展示了攻击者如何不断改进手段,绕过传统防护措施,逃避检测并选择性地 targeting 受害者。他们通过复杂的指纹识别、动态域名架构和欺骗策略(如模仿合法网站),实现了攻击的隐蔽性和规模化。”
给网站运营者的 “紧急防护指南”
你所在的企业或网站是否遭遇过类似的恶意攻击?欢迎在评论区分享你的防护经验。
2025-06-09
2025-06-05
2025-04-17
2025-03-28
喜欢此文的话,可以点赞、转发、在看 一键三连哦!
原文始发于微信公众号(星尘安全):警惕!一个月超 26.9 万个网站被这款恶意软件入侵,你的网站中招了吗?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论