0×1概述 最近，腾讯的电脑管家发现许多网站在网页中嵌入了挖掘JavaScript脚本。一旦用户进入这样的网站，JS脚本就会自动执行，占用大量机器资源来提取门罗币，导致电脑变慢。据分析，嵌入JS挖掘的网站主要包括色情视频、小说、网络游戏等类型。由于此类网站在界面打开后出现之前通常会停留一段时间，用户不太可能感觉到机器卡速度很慢，这也成为犯罪分子使用此类色情网页进行挖掘的原因之一。 0×2开采行为分析 1.以色情网站为例。打开后，如下所示 图1。色情网站的网页 2.打开任务管理器，我们可以看到站点打开后，CPU利用率会立即上升，并始��保持100%的状态。 图2 .CPU利用率上升至100% 3.查看此网页的源代码，找到嵌入式JS采矿机https://coin-hive.com/lib/coinhive.min.js 图3 .嵌入网页的JS矿工 图4 .嵌入网页的JS挖掘机器 4.JS采矿机是由Coinhive提供的服务。密码夜挖掘算法用于挖掘门罗硬币。密码夜算法复杂且占用大量资源。它通常被植入普通的用户机器，并占用我的中央处理器资源。硬币箱(Coinhive)将根据市场情况每隔几个小时实时调整门罗硬币的分布。例如，手稿发行时，官方价值为0.00015579XMR/MH，基于门罗硬币的当前价格为0.0825687元/MH。此外，Coinhive将提取30%的收入，其余的70%将由网站收取。 图5 .共巢收入分配 5.具有讽刺意味的是，Coinhive明确指出，在没有提示用户的情况下，不应使用该服务，因为用户的利益比任何公司的短期利益都更重要。然而，实际情况是该服务被各种网站滥用。 图6。Coinhive提示:如果使用此服务，建议首先通知用户。 6.同时，通过分析发现，Coinhive提供的接口可以控制中央处理器的利用率，这样中央处理器的利用率就不会一直过高，同时机器挖掘也不会变得明显缓慢，使得挖掘行为更加隐蔽和难以发现。 图7 .采矿机控制中央处理器利用率 经过安全人员的进一步分析，发现数百个站点嵌入了JS采矿机器。 图8 .一些JS矿区 其中大多数是色情网站 图9。JS矿区类型分布 数据显示，9月中旬至下旬，对联合矿产的访问次数急剧增加。尽管本周略有下降，但仍有上升趋势。 图10。九月份JS矿业访问趋势图