黑客可利用 GitHub 被删账户和非官方 CDN 实施密币劫持

网络犯罪分子似乎痴迷于滥用 GitHub 以及和 GitHub 相关的服务隐藏用于被黑站点上的浏览器密币挖矿脚本

近几个月来，很多犯罪分子通过滥用 GitHub 劫持密币的活动。2017年12月，黑客将密币劫持脚本上传至 GitHub 账户并通过 GitHub.io 域名将它们下载至被黑站点上。

几个月后，犯罪分子又故技重施，不过他们并未使用 GitHub.io 域名，而是通过 GitHub 的 raw.githubusercontent.com 的默认 CDN 加载脚本。

第三次，当犯罪分子发现战术被发现且遭安全企业和软件阻止后，他们再次转换到一个新的 URL 计划并开始加载存储在 github.com/user/repository/raw/ 链接上的密币劫持脚本。

密币劫持器滥用 RawGit CDN

网络安全公司 Sucuri 的研究员表示，他们发现犯罪分子使用一种更加聪明的方式，他们并未滥用 GitHub，而是一款非官方的和 GitHub 相关的服务。

这款服务就是 RawGit，这款 CDN 服务无限缓存 GitHub 文件，即使是原始文件已从 GitHub 上删除或者 GitHub 用户删除账户后仍然能起作用。

Sucuri 指出，犯罪分子最近实施的密币劫持行动将 Crypto-Loot 浏览器挖矿机的某个版本上传至 GitHub 账户 jdobt，在 RawGit 内部缓冲密币劫持脚本，之后删除了原始的 GitHub 账户。

攻击者随后通过 RawGit URL 将这个密币劫持脚本内嵌在被黑站点上。该URL 通常并不被认为是可疑的，而且易遭安全软件扫描。

这种技术可以说非常聪明，因为它滥用仅为 web 开发人员知道的服务，而开发人员过去经常将 RawGit 用于 HTML 预览功能。

攻击者的计划落空

但是，虽然前三次利用 GitHub 域名的密币劫持活动都获得不同程度的成功，但这次貌似栽了个大跟头，原因有二：

首先，犯罪分子似乎在被黑站点内嵌 Crypto-Loot 脚本时遭到意外障碍。Sucuri 公司表示，脚本未能真正为犯罪分子加载、执行并产生利润。

第二，Sucuri 表示，RawGit 团队飞速响应滥用报告，在报告发出的几小时内拿下缓存的 URL。

这次恶意活动背后的操纵者可能认为找到一种聪明的办法，即使文件从 GitHub 删除也仍然能让脚本在线，但攻击者显然没想到 RawGit 的响应速度如此之快。