Coinhive, iMonero
Walaupun implementasi JavaScript Coinhive dikembangkan untuk tujuan yang sah, nampaknya semakin banyak pakar keselamatan web melaporkan bahawa pembangun telah memasukkannya ke dalam kod laman web. Serangan semacam ini, jika seseorang ingin merujuknya seperti itu, menggunakan CPU pelawat untuk melombong koin cryptocurrency Monero semasa pengguna mengunjungi halaman.
Secara teknikal, ini tidak membuat kerosakan yang nyata pada pemasangan pelawat selain menarik kuasa pemprosesan dari tugas yang berguna, walaupun ini boleh menyebabkan masalah prestasi yang teruk pada peranti yang lemah.
Beberapa laman web telah menggunakan kaedah ini dengan persetujuan yang dimaklumkan sebagai alternatif untuk iklan dalam talian, kerana teknik ini dapat mempengaruhi semua penyemak imbas yang dapat mengurai kod JavaScript tanpa mengira platform apa yang mereka jalankan.
Walaupun begitu, beberapa pelaksanaan yang telah dilakukan tanpa persetujuan pengguna. Sebuah laporan dari National Crime Agency di UK yang dikeluarkan pada bulan April menyatakan bahawa laman web popular disusupi dengan kod jahat yang dirancang untuk membantu dalam cryptomining.
Pada awal 15 Jun, perkhidmatan berita Asahi Shimbun di Tokyo melaporkan bahawa polis dari sepuluh wilayah Jepun telah membuat 16 tangkapan individu terhadap orang-orang yang disyaki menyebarkan kod sewenang-wenangnya kepada pengguna laman web yang mereka kunjungi.
Salah satu program yang dikirimkan dalam kod tersebut dikenal pasti sebagai Coinhive sementara salah satu suspek lain merancang kod yang menyerupai Coinhive dan mengirimkannya kepada pengguna laman web tertentu.
Penyiasat mengumumkan bahawa mereka memantau operasi Coinhive sejak pelepasan perisian pada bulan September 2017.
Tangkapan dilakukan kerana pengguna laman web tidak meminta persetujuan mereka. Walaupun begitu, Coinhive sendiri tetap menjadi program yang sah apabila digunakan dengan persetujuan yang sesuai.
Oleh kerana penggunaan seperti ini biasanya mempengaruhi enjin JavaScript onboard pada penyemak imbas dan bukannya sistem operasi atau fail yang mendasari, mungkin sukar bagi pakar keselamatan untuk melakukan mitigasi bagi mereka.
Nasihat keselamatan dalam talian yang biasa, seperti membersihkan cache penyemak imbas secara berkala, dapat membantu mengurangkan risiko skrip terbenam terus ditambang untuk mendapatkan koin cryptocurrency. Dalam kebanyakan kes, skrip hanya dapat berjalan semasa pengguna mengunjungi laman web yang disusupi atau dengan izin mereka.
Teg Kripto keselamatan web
