Скрытый майнер нашли на сайте в файле favicon.ico Статьи редакции
Судя по всему, скрытый майнинг становится настоящей проблемой в 2018 году. Файл favicon.ico это маленькая такая иконка в пару килобайт, которая показывается у вашей вкладки браузера когда вы открываете сайт (сейчас там логотип vc.ru)
Так вот, судя по скриншотам из этого твита, злоумышленники (не знаю, можно ли их так называть, но, наверное, можно — раз делают это без спроса) смогли успешно поместить туда код майнера для криптовалюты:
На всякий случай порекомендую плагин для Chrome в стиле No Coin, который по идее поможет защитой от таких майнеров:
1
показ
20K
открытий
У меня сомнения, что это работает. Браузер не должен выполнять контент favicon как JavaScript, должен отбрасывать, а поместить туда можно что угодно, если сам сайт заражен. Судя по последней строчке в favicon, он отдаётся скриптом и заражен сам сайт на PHP и он, скорее всего, отдаёт код майнера на любой запрос к нему, скриншот Activity Monitor это подтверждает, но это не значит, что это атака через favicon — бред %)
Так он и так include'ом в другие скрипты подгружается. У себя спалил такого зловреда (почти во всех index.php был встроен), через какую-то дыру в Вордпрессе просочился. А в favicon.ico, видимо, просто для отвлечения внимания.
Но это прямое следствие эксплуатации через PHP, сам майнер где угодно может размещаться, «втягивать» его на страницу будет php-скрипт злоумышленника.