个别运营商通过网络劫持手段强行插入挖矿代码 - 挖矿网

上传

点击文件名下载附件

图1
劫持插入挖矿代码过程简图如下：

(, 下载次数: 5)

上传

点击文件名下载附件

图2
下面，我们以国内知名视频网站“优酷网”为例来简要分析下此次事件挖矿代码的行动方式。最初的劫持点是其请求的视频播放js脚本，该脚本被随机插入了用于挖矿的main.js脚本：

(, 下载次数: 4)

上传

点击文件名下载附件

图3

(, 下载次数: 6)

上传

点击文件名下载附件

图4
被劫持后替换掉的ykDanmuLoad.js内容经过简单解码后内容如下：除了要加载原站的ykDanmuLoad.js外额外插入一条用于挖矿的main.js

(, 下载次数: 6)

上传

点击文件名下载附件

图5
此处被插入的挖矿脚本main.js也是经过混淆的。在经过解码去混淆后，可以找到如下代码片段：

(, 下载次数: 8)

上传

点击文件名下载附件

图6
其中配置了挖矿的site_key，并判断用户正在使用的设备是Windows、IPhone还是Android。根据使用设备的不同，代码会采用不同的site_key进行挖矿。
另外，CPU占用阈值”throttle”被统一设置为了30%。也正是由于这一设定，导致一般用户在浏览器中打开被劫持的页面而被利用进行挖矿时，并不会感觉到非常明显的卡顿现象。该劫持的这一操作也算是一种较为直接的自我隐藏手段。
附几个重要参数的含义：
· sitekey: 重要属性，CoinHive 使用这个key来标记不同的网站来源，其意义类似于挖矿矿工的银行账户；在这里该劫持使用了三个key来分别为Windows、Android、IPhone设备来使用。
· throttle: 重要属性，浏览器占用CPU的阈值，调节到合适的阈值时，用户会很难注意到浏览器的算力被滥用，引入这个阈值的本意是在用户体验和网站收入之间取得平衡；
· autothreads: 相对重要，是否允许自动调节线程数目。
上面的main.js脚本中，还嵌入了main1.js和main2.js两个脚本。其中main.1.js内容片段如下：

(, 下载次数: 10)