Aggregator

一种新的JavaScript混淆方法利用不可见的Unicode字符来表示二进制值，在针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中被积极滥用。

发现此次攻击的网络威胁实验室报告称，该攻击发生在2025年1月初，并带有复杂的迹象，例如使用了：

·针对受害者提供个性化的非公开信息；

·调试器断点和定时检查以逃避检测；

·递归包装邮戳跟踪链接到模糊的最终网络钓鱼目的地。

JavaScript开发人员在2024年10月首次披露了这种混淆技术，它在实际攻击中的迅速采用凸显了新研究被武器化的速度。

使JS有效负载“不可见”

新的混淆技术利用不可见的Unicode字符，特别是韩文半宽（U+FFA0）和韩文全宽（U+3164）。

JavaScript负载中的每个ASCII字符被转换为8位二进制表示，其中的二进制值（1和0）被不可见的韩文字符替换。

混淆后的代码作为属性存储在JavaScript对象中，由于韩文填充字符呈现为空白，因此脚本中的有效负载看起来为空，如下图末尾的空白所示。

隐藏恶意代码的空白

一个简短的引导脚本使用JavaScript代理的“get（）陷阱”检索隐藏的有效负载。当访问hidden属性时，Proxy将不可见的韩文填充字符转换回二进制并重建原始JavaScript代码。

Juniper分析师报告称，攻击者除了上述步骤之外，还使用了额外的隐藏步骤，比如用base64编码脚本，并使用反调试检查来逃避分析。

韩文填充字符序列的Base64编码

Juniper解释说：“攻击是高度个性化的，包括非公开信息，最初的JavaScript会在被分析时试图调用调试器断点，检测到延迟，然后通过重定向到一个正常的网站来中止攻击。”

这种攻击很难检测，因为空白减少了安全扫描仪将其标记为恶意的可能性。

由于有效负载只是对象中的一个属性，因此可以将其注入合法脚本而不会引起怀疑；另外，整个编码过程很容易实现，不需要高级知识。

Juniper表示，此次活动中使用的两个域名先前与Tycoon 2FA网络钓鱼工具包有关。如果是这样，我们很可能会看到这种不可见的混淆方法在未来被更广泛的攻击者采用。

zklend 官方承认遭到黑客攻击，威胁者利用智能合约中 mint() 函数的舍入错误漏洞盗取了 3600 个以太币，价值约 950 万美元。

zkLend 是一个建立在 Starknet 上的去中心化货币市场协议，Starknet 是以太坊的二层扩容解决方案，它使用户能够存入、借入和贷出各种资产。据了解，攻击者将“lending_accumulator”操纵为非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的舍入误差，反复存入 4.069297906051644021 wstETH，每次获得 2 个 wei，再取出 4.069297906051644020×1.5 - 1 = 6.103946859077466029 wstETH，每次仅花费 1 个 wei。

开发 Starknet 网络的 Starkware 确认，该漏洞并非 Starknet 技术本身的问题，而是某个应用程序特有的错误。

据 Cyvers 称，威胁者试图通过 RailGun 隐私协议清洗加密货币，但因协议政策而被阻止。

zkLend现已向黑客发出消息，称如果他们归还被盗以太坊的90%资金到以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C，即3300 ETH后，他们可以保留另外10%的资金作为白帽赏金，并且不会对攻击承担任何责任。

目前zkLend 正在与安全公司和执法部门合作。如果在2025年2月14日前没有收到威胁分子的消息，该公司将继续采取下一步措施进行跟踪和起诉。目前，黑客还没有任何回应，这属网络攻击中的常见情况。