YouTube被劫持？说不定你也在默默为黑客当苦力！

近期的数字货币市场可谓一波未平一波又起，日本刚刚曝出史上规模最大——5.3亿美元数字货币被盗案，近日国外安全厂商又发现YouTube也出问题了！研究人员最近监测到虚拟货币的“挖矿工”人数激增，经分析后发现，原来是YouTube广告里的 JavaScript 代码里包含了一段挖矿脚本，致使成千上万的用户无意间都成了挖矿苦力。

图： YouTube广告中的包含挖矿脚本

近年来， 区块链 技术大热，使数字货币价值水涨船高，随之而来的就是此类挖矿事件层出不穷。据360发布的国内首份区块链安全报告《2017年挖矿木马报告》（以下简称《报告》）显示，2017年国内披露的大规模挖矿木马攻击事件数量呈现了爆发式增长，已经超过2013-2016年四年的数量之和。

图：2013年-2017年国内披露的挖矿木马攻击事件

被黑客盯上的“大金矿”——YouTube访问量数以亿计

数字货币市场利润巨大，许多人都想进来分一杯羹，如果购买市面上已经挖出的数字货币就需要支付高昂的费用，且交易存在一定的涨跌风险，比股市的风云变幻有过之无不及，要是自己能挖出新的数字货币，岂不是“凭空印钞”，坐收红利？

但挖矿并不是一件容易的事。按照原始设计，符合某个特定规律的字段数量是有限的，意味着可以挖出的数字货币也是有限的。谁有更多的算力，囤积了更多的 CPU、GPU，谁才能更快挖出更多数字货币。而问题在于，不是每个人都拥有一座位于偏远山区享受廉价电费的“矿场”。

这也是为什么一些别有用心之人想出了挖矿劫持这个主意：让挖矿变成一个众包的任务，用网页偷跑挖矿程序，每个中招的人都贡献一点 CPU，这样一来就形成了自己的专属挖矿基地。简单来说，就是在网页中植入了挖矿脚本，可以在受害者不知情的前提下，使用受害者的计算设备来挖取数字货币。

图：各类网站植入挖矿脚本比例

根据360的《报告》显示，2017年各类网站植入挖矿脚本的比例中，色情网站以近六成的占比成为挖矿重灾区。而现在，黑客们显然已经不能满足于色情网站带来的流量，而是瞄准了更高浏览量的“大金矿”——YouTube 每天都有着数以亿计的访问量，且一个视频时长几分钟到数十分钟。用户停留在YouTube网页上的时间，远比浏览一个电商产品页面、新闻网站或博客页面要长，挖矿效果也要好得多。由此可见，在这场浩浩荡荡抓壮丁当苦力的挖矿行动中，所有用户都成为了黑客的目标。

360给出“安全锦囊”——如何防范网页挖矿

网页挖矿木马与勒索病毒等网络安全威胁相比，更具隐蔽性，它们悄悄地消耗着你的计算机资源，默默为“矿主”黑客带来数不尽的财富，然而，这些数以千万计的财富却与你一毛钱关系都没有。

为了避免广大用户在不知不觉间，沦为挖矿苦力，360安全专家针对网页挖矿脚本为大家支招：

1、用户需要注意浏览网页时的CPU使用率，计算机CPU使用率飙升且大部分CPU使用来自于浏览器，那么网页中可能被植入了挖矿脚本；

2、用户可使用360安全浏览器，尽量减少访问被标为高危的网站，避免受到挖矿木马攻击；

3、另外，专家还建议用户安装360安全卫士等安全软件，及时查杀木马，保护电脑安全。

2017年是挖矿木马大规模爆发，随着区块链技术的不断成熟，在2018开年之初，我们便可以看到挖矿木马已经从隐匿的角落逐渐走向了大众的视野。阻止挖矿木马的兴起是杀毒软件的重要责任，而防范挖矿木马的入侵是每一位服务器管理员、PC用户需要时刻注意的重点。防御挖矿木马，维护网络安全，仍需要安全厂商与用户协同联动，打好“挖矿反击战”。