Des milliers de sites Web chargent un mineur de crypto-monnaie sans s’en rendre compte

Des milliers de sites Web ont secrètement chargé un mineur de crypto-monnaie qui s’en prend aux visiteurs après que des cybercriminels aient compromis une bibliothèque tierce.

Le spécialiste de la sécurité, Scott Helme, a rapporté l’incident dans un article de blog qui détaille comment des acteurs inconnus ont changé l’un des fichiers script hébergés par Texthelp, un fournisseur de technologie d’aide à la lecture. Ces malfaiteurs ont ciblé le lecteur d’écran Web de Browsealoud et l’ont modifié pour inclure le mineur CoinHive Monero.

“Les ba.js avaient été modifiés pour inclure un appel document.write qui ajoutait un chiffreur de chiffrement CoinHive à n’importe quelle page dans laquelle il était chargé”, explique Helme. Au total, il a constaté que l’incident a touché plus de 4 000 sites Web, y compris de nombreux «sites Web importants du gouvernement» aux États-Unis et au Royaume-Uni.

Réponse rapide

Helme a tendu la main à Texthelp suite à sa découverte, et le fournisseur de technologie a réagi en désactivant temporairement Browsealoud. Il a également publié une déclaration informant les clients qu’il avait mis en œuvre son «plan d’action de sécurité des données» après avoir pris connaissance du problème. Texthelp a ajouté qu’il avait supprimé Browsealoud de tous les sites clients et atténué les risques associés dans un délai de quatre heures.

Le bureau du Commissaire à l’information du Royaume-Uni (ICO) a démonté son site Web le 11 février après avoir appris qu’il avait été touché. Le site est resté hors ligne le jour suivant alors que l’OIC a enquêté sur l’incident.

Prévention des attaques de mineurs de crypto-monnaie

La vague d’attaques de mineurs de crypto-monnaie au cours des derniers mois appelle les propriétaires de domaines à renforcer la sécurité de leurs sites Web. Selon Helme, ils peuvent protéger leurs sites contre ce type d’attaque particulier en ajoutant l’attribut d’intégrité SRI, qui permet au navigateur de déterminer si un fichier a été modifié. Si quelqu’un l’a changé, le navigateur ne chargera pas le fichier.

Les propriétaires de domaines peuvent améliorer la sécurité de leur site Web en mettant en œuvre la politique de sécurité du contenu et la directive require-sri-for, a noté Helme. Ensemble, ces mesures empêchent tout script de se charger sur une page Web hébergée sans attribut d’intégrité SRI.