Záplava webů se skripty, které využívají počítačový výkon návštěvníků k těžbě kryptoměn, není novinkou posledních týdnů, ale spíš měsíců. Těžba přitom obvykle probíhá bez vědomí uživatelů. Někdy majitel webu nasadí těžařský skript úmyslně, stoupá ale i počet případů, kdy se na stránky dostane bez jeho vědomí.
Těžící skript se může do stránek dostat například přes různé pluginy a rozšíření, přes nakažené reklamy nebo využitím známých (a na webu neopravených) zranitelností – podobně jako jiný malware.
Bezpečnostní expert Michal Špaček na Twitteru upozorňuje, že se některé weby, které mají skript nasazený, dají odhalit jednoduchým dotazem v Googlu. Stačí použít správné operátory (intitle:„var miner = new CoinHive“ site:cz) a vyhledávač najde v tuto chvíli asi 960 českých webů, na kterých v kódu narazil na stopy po skriptu CoinHive.
Když jsme seznam procházeli, našli jsme skript jen na části stránek z výsledku hledání (nezkoušeli jsme ale všechny). Často šlo o weby provozované na systému Wordpress nebo Joomla. Pravděpodobně se tedy mohly neúmyslně nakazit nějakým infikovaným pluginem. To na Twitteru potvrzuje také Tomáš Srnka z WebSupport.sk:
Ahoj, tie hacky su cez deravy WP plugin alebo Joomla plugin. Staci aktualizovat WP+vsetky pluginy a poprosit support na odstranenie toho JS. Nasledne je to OK
— Tomáš Srnka (@tomassrnka) 14. února 2018
Je ovšem možné, že původ nákazy je ještě jinde. Drtivá většina nalezených webů totiž má hosting právě u slovenského WebSupportu, upozornil na Twitteru Tomáš Hála.
Na seznamu je mimo jiné Oficiální portál České republiky o společenské odpovědnosti – tedy web provozovaný Ministerstvem průmyslu a obchodu ČR (aktuálně jsme na něm ale skript nenašli).
Není samozřejmě jasné, zda na dotyčné weby skript nasadili jejich majitelé úmyslně, nebo zda jejich stránky někdo infikoval. Z toho, o jaké weby jde, to vypadá spíše na druhou variantu. Přes Google také pravděpodobně nejde odhalit všechny weby, které mají skript nasazený, jejich skutečný počet tak bude nejspíš vyšší.
Těžba kryptoměny přes JavaScript ve stránce samozřejmě není sama o sobě nic ilegálního a služba CoinHive svůj skript nabízí zcela veřejně. S tímto postupem začínají ve světě experimentovat například některá média nebo služby, pro některé uživatele to totiž může být přijatelnější než mít web zaplavený reklamami.
Problém ale nastává ve chvíli, kdy web využívá počítačový výkon návštěvníka, aniž mu o tom dá vědět. A když někdo injektuje web bez vědomí jeho majitele – to už je klasický postup malwaru.