Хакер перехватил контроль над DNS-сервером Coinhive для майнинга Monero

Неизвестный хакер взломал учетную запись Coinhive в CloudFlare, что позволило ему модифицировать DNS-серверы компании и заменить легитимный код JavaScript, встроенный в тысячи web-сайтов, вредоносное версией. По всей видимости, для доступа к учетной записи атакующий использовал старый пароль, утекший в результате взлома платформы Kickstarter в 2014 году.

Согласно сообщению Coinhive, инцидент произошел вечером 23 октября. Хакер авторизовался в учетной записи компании и подменил DNS-записи, перенаправив домен Coinhive на новый IP-адрес. Данный сервер распространял модифицированный файл coinhive.min.js, содержавший вшитый ключ сайта. По словам представителей Coinhive, домен компании находился под контролем злоумышленника примерно в течение шести часов.

«Причиной инцидента стало использование небезопасного пароля для нашей учетной записи в CloudFlare, который, по всей вероятности, был скомпрометирован в результате утечки данных Kickstarter в 2014 году. С тех пор мы используем двухфакторную аутентификацию и уникальные пароли для всех наших сервисов, но по недосмотру не переустановили пароли для нашего аккаунта в CloudFlare», - говорится в сообщении компании.

Coinhive также рассматривает варианты возмещения ущерба сайтам, потерявшим прибыль в результате инцидента.

Ранее хакеры взломали облачные сервисы AWS как минимум двух компаний с целью использовать их вычислительные мощности для добычи криптовалюты. Поскольку панели администрирования не были защищены паролями, злоумышленники без труда получили доступ к облачным серверам Amazon.

Coinhive – сервис, позволяющий монетизировать трафик сайтов, встраивая в код браузера майнер для популярной криптовалюты Monero.

Источник