你的电脑正在帮骇客挖比特币！3,500个网站遭植入「挖矿脚本」，隐形劫持让用户毫无察觉

安全研究机构 c/side 披露，多达 3,500 个网站被入侵并植入了「浏览器内挖矿」程式，攻击流量遍布全球，用户在毫无察觉的情况下，竟然在帮骇客挖掘加密货币！ （前情提要：冷钱包Trezor警告：骇客假冒官方信进行钓鱼攻击，切勿分享钱包私钥） （背景补充：巴西央行1.4亿镁储备金被骇！赃款换成比特币、骇客成本仅2,760美元，服务供应商成破口） 打开购物页面或新闻网站的瞬间，你以为你的电脑只在为自己工作，却没想到电脑背后的 CPU 正默默为陌生人打工。根据安全研究机构 c/side 本月稍早披露，多达 3,500 个网站被入侵并植入了「浏览器内挖矿」程式，攻击流量遍布全球，但用户几乎无从察觉。 骇客攻击手法揭秘 c/side 研究人员揭露，他们发现了隐藏在混淆的 JavaScript 中的挖矿脚本，该程式会评估设备的运算能力并生成后台 Web Workers，来并行执行挖矿任务但不会发出任何警报。 更重要的是，该活动还被发现，会利用 WebSockets 从外部伺服器获取挖矿任务，以便根据设备功能动态调整挖矿强度，并相应地限制资源消耗以保持隐蔽性。 这种方法的最终结果是，用户在浏览受劫持网站时，会在不知情的情况下挖掘加密货币，骇客因此在未经用户知情或同意的情况下，将他们的电脑变成隐藏的加密货币矿机。安全研究员 Himanshu Anand 直言： 这是一种隐形挖矿程式，其设计目的是避开用户和安全工具的雷达探测。 个人代价：网路资源、电力与隐私的悄悄流失 对一般使用者来说，第一时间损失的可能不会是自己银行帐户里的存款，但这会导致严重的电脑反应迟钝、风扇长时间狂转、行动装置电池加速耗尽问题。长期运算负荷可能将缩短硬体的使用寿命，电费也跟着被擡高。更严重的是，被植入挖矿脚本的网站往往会同时散布其他恶意程式，例如信用卡资料窃取脚本，这最终会让个人资料、支付资讯暴露在风险边缘。 企业冲击：品牌信任与合规成本遽增 对网站经营者而言，网站遭骇客挟持不仅伤害了其品牌形象，也可能引发监管调查、甚至面临诉讼。另外，为对抗骇客劫持，营运团队还需修复主机、更新外挂、追踪恶意脚本来源，这些都需要投入人力与时间。且一旦用户被资料外泄，企业还得面对额外罚款。 防御路径：工具、流程与教育缺一不可 个人层面，可透过防毒软体与浏览器外挂阻挡已知挖矿脚本，同时留意设备异常发热与耗电情况。同时，定期更新作业系统与应用程式，也有助于堵住被滥用的漏洞。 企业则需全面盘点该问题，并建立快速修补机制，也可导入行为分析或 AI 侦测系统，以便能够即时标示网路异常流量。 最后，持续的教育与学习也是对抗网路威胁的一大关键，资安问题更像一场耐力赛，唯有用户与企业同步升级「数位免疫系统」，才能有效保住运算资源和维护信任体系。 相关报导 微软联手FBI打击北韩骇客诈骗！冻结3,000个帐号，抓出美国「打工仔共犯」 伊朗宣布「晚上禁用加密货币」，以色列骇客烧毁Nobitex 1亿美元引爆链上战火 微策略开喷链上储备证明PoR，Michael Saylor：公开地址太愚蠢，让骇客易于狙击〈你的电脑正在帮骇客挖比特币！3,500个网站遭植入「挖矿脚本」，隐形劫持让用户毫无察觉〉这篇文章最早发布于动区BlockTempo《动区动趋-最具影响力的区块链新闻媒体》。