Неизвестный злоумышленник взломал учетную запись Coinhive в CloudFlare, модифицировал DNS-серверы компании и заменил легитимный код JavaScript, встроенный в тысячи web-сайтов, вредоносной версией.
И без того печально известный сервис стал жертвой злоумышленника, в результате чего пострадало немало ресурсов. Существует предположение, что для доступа к учетной записи хакер использовал старый пароль, утекший в результате взлома платформы Kickstarter в 2014 году.
Согласно сообщению Coinhive, инцидент датируется 23 октября. Хакер авторизовался в учетной записи компании и подменил DNS-записи, перенаправив домен Coinhive на новый IP-адрес. Данный сервер распространял модифицированный файл coinhive.min.js, содержавший вшитый ключ сайта. Как утверждает представитель Coinhive, домен компании находился под контролем злоумышленника около шести часов.
“Причиной инцидента стало использование небезопасного пароля для нашей учетной записи в CloudFlare, который, по всей вероятности, был скомпрометирован в результате утечки данных Kickstarter в 2014 году. С тех пор мы используем двухфакторную аутентификацию и уникальные пароли для всех наших сервисов, но по недосмотру не переустановили пароли для нашего аккаунта в CloudFlare”, – говорится в сообщении компании.
На данный момент Coinhive рассматривает варианты возмещения ущерба ресурсам, которые в результате инцидента лишились прибыли.
Источник: securitylab.ru
