事件2019年7月10日,降維安全實(shí)驗(yàn)室(johnwick io)接到一位用戶的丟幣反饋,聲稱自己在使用MyDashWallet線上錢包(https: mydashwallet org
事件
2019年7月10日,降維安全實(shí)驗(yàn)室(johnwick.io)接到一位用戶的丟幣反饋,聲稱自己在使用MyDashWallet線上錢包(https://mydashwallet.org/)的過程中,丟失了價(jià)值數(shù)百萬人民幣的達(dá)世幣(DASH),經(jīng)過降維安全實(shí)驗(yàn)室的技術(shù)人員和用戶的協(xié)同調(diào)查分析得出結(jié)論:這是一起典型的供應(yīng)鏈掛馬攻擊事件。
截至發(fā)稿時(shí)為止,MyDashWallet網(wǎng)站上的掛馬代碼仍然存在,依然有效!為了達(dá)世幣用戶的資產(chǎn)安全起見,我們強(qiáng)烈建議目前不要使用MyDashWallet線上錢包!
分析
MyDashWallet網(wǎng)站源碼引用了多個(gè)第三方j(luò)s腳本,其中一個(gè)來自greasyfork.org,這是一個(gè)GreaseMonkey油猴腳本的分享發(fā)布網(wǎng)站,類似程序員界的github。
我們來看看greasyfork.org上的這段js代碼:
乍一看是個(gè)人畜無害的腳本,但是只要往下拉,就可以看到其廬山真面目: 竊取用戶的達(dá)世幣的各種信息,包括賬戶余額、賬戶私鑰PrivateKey、Keystore、Seed等等等等!果然是:
小孩子才做選擇題,大人全都要!
我們簡(jiǎn)單看下這個(gè)腳本,當(dāng)檢測(cè)到用戶訪問網(wǎng)站的主機(jī)名第6位字符開始的后5位為hwall(也就是匹配到mydashwallet.org)后,才觸發(fā)竊取動(dòng)作。
在竊取動(dòng)作完成后,會(huì)將被竊信息以POST方式發(fā)送到https://api.dashcoinanalytics.com/stats.php
結(jié)合greasyfork.org上的腳本歷史版本和代碼差異比較,可知,黑客早在2019年5月13日就部署過惡意腳本。
再結(jié)合黑客用來搜集被竊信息所注冊(cè)的域名 從whois信息可以看出該域名注冊(cè)于2019年5月13日!
該域名的HTTPS證書有效期,從2019年5月14日開始生效!
結(jié)論
由上述分析我們可以推論出:
至少在5月13日之前,黑客就控制了MyDashWallet網(wǎng)站(mydashwallet.org)
5月13日租賃了竊密服務(wù)器,申請(qǐng)了域名和HTTPS證書
5月13日在greasyfork.org上提交了惡意腳本,并在之后不斷進(jìn)行更新
隨后在mydashwallet.org上插入這個(gè)惡意腳本,然后就是姜太公釣魚直到現(xiàn)在!
我們將上述分析告知用戶后,用戶隨即在MyDashWallet的電報(bào)群中反饋了相關(guān)問題,但是卻被管理員立即踢出了群組! 目前,在我們發(fā)布相關(guān)事件預(yù)警后,MyDashWallet官方暫未作出任何回應(yīng)!
關(guān)鍵詞: MyDashWallet 達(dá)世幣 掛馬攻擊