JSFireTruck JavaScript 攻击在 2025 年感染 269,000+ 个网页

2025-06-13 17:02:40

首页新闻* 研究人员发现了一项广泛的活动，使用混淆的JavaScript感染合法网站。

该活动名为“JSFireTruck”，使用了一种晦涩的编码技术来隐藏代码的真实目的。
被攻击的网站会将来自搜索引擎的用户重定向到可能传播恶意软件或诈骗的恶意链接。
在2025年3月至4月之间，报告感染的网页近270,000个，4月中旬出现了重大激增。
一个单独的服务 HelloTDS 被用来有条件地将用户重定向到诸如虚假浏览器更新和加密货币诈骗等骗局。网络安全专家报告了一起大规模攻击，合法网站被隐藏的JavaScript代码感染。该活动会主动将用户重定向到危险页面，尤其是当他们从热门搜索引擎访问时，从而增加了恶意软件或诈骗曝光的风险。

广告 - Palo Alto Networks Unit 42 的研究发现，从2025年3月26日至4月25日，有269,552个网页感染了模糊的JavaScript。在4月的某一天，超过50,000个网页受到影响。这段不安全的代码依赖于一种被称为“JSFuck”的方法，这种方法只使用少量字符编写程序，从而使检测和分析变得更加困难。

根据安全研究人员Hardik Shah、Brad Duncan和Pranay Kumar Chhaparwal的说法，团队观察到多个网站使用一种名为JSFireTruck的独特技术包含恶意JavaScript。注入的代码检查访客是否来自搜索引擎，如Google、Bing、DuckDuckGo、Yahoo!或AOL。如果是，它会将他们重定向到可以传播恶意软件、漏洞利用工具包或欺诈广告的恶意网站。*“代码的混淆隐藏了其真实目的，妨碍了分析，”*作者解释道。广泛的感染表明，有组织的努力将真实网站作为进一步攻击的工具。

报告还强调了“HelloTDS”的出现，这是一种流量分配服务，根据受害者的设备详细信息选择显示哪个骗局。Gen Digital描述了HelloTDS如何使用托管在远程站点上的JavaScript代码提供虚假的验证码难题、技术支持骗局、虚假的浏览器升级和加密货币诈骗。受害者通过他们的位置、IP地址和浏览器行为等信息进行筛选。如果用户不符合特定的攻击条件，代码会将他们引导到安全内容。

研究人员Vojtěch Krejsa和Milan Špinka指出，攻击者常常在流媒体网站、文件共享平台或通过恶意广告伪装他们的活动。一些方案使用诱导性问题让用户运行有害软件，如PEAKLIGHT，该软件以窃取敏感信息而闻名。

支持 HelloTDS 的基础设施主要使用 .top、.shop 和 .com 等通用顶级域名来托管有害代码。这些活动采用了先进的策略，如浏览器指纹识别和切换域名以避免检测，使安全工具更难以阻止攻击。

有关更多信息，请参阅 Palo Alto Networks Unit 42 的原始分析以及 Gen Digital 关于 HelloTDS 的详细信息。有关 JSFuck 技术的信息可以在此资源中找到。