Sono stati individuati oltre 4000 siti, inclusi svariati siti web appartenenti ad agenzie governative del regno Uniti e statunitensi, infettati da malware per il mining di criptovaluta. Il ricercatore di sicurezza Scott Helme ha, per primo, esaminato  il sito web dell'  Information Commissioner’s Office (ICO) dato che svariati antivirus lo segnalavano come sito compromesso. 

 
" Era logico pensare che quel sito web fosse compromesso, così mi sono messo a analizzare meglio il sito, inviando mail per segnalare ad alcuni esperti il problema e chiedere aiuto nella divulgazione della notizia. Mi sono reso subito conto del fatto che lo script dannoso non era presente nel sito web dell'ICO, ma era ospitato in una libreria caricata sul sito da terze parti ignote", ha spiegato.
 
"Se vuoi caricare un malware per il mining di cripto valuta su 1000 siti web, non devi attaccare mille siti web, ma quelli da cui tutti caricano i i contenuti. Ad esempio si è scoperto che TextHel, un provider di assistenza tecnologica, era stato compromesso e uno dei loro file script era stato modificato".
 
L'esito delle verifiche è stato che gli attaccanti hanno compromesso un file JavaScript che era parte del prodotto Texthelp Browsealout: vi è stato cioè aggiunto il codice necessario per installare il famoso miner CoinHive (cosa è CoinHive?)
 
Tra i siti compromessi troviamo quello della United States Courts, quello del General Medical Council, della Students Loans Company inglese, l'NHS Inform e molti altriHelme ha spiegato che la mitigazione di questo attacco è piuttosto facile e richiede solo la modifica di una piccola parte del codice, cambiando il modo in cui viene caricato lo script su Browsealoud. La buona notizia è che l'attacco è avvenuto Domenica mattina e Texthelp è stata molto molto rapida nel riconoscere il problema, mettere temporaneamente offline il servizio e ripristinarlo senza compromissioni. 
 
Quella del mining di cripto valute è una nuova, sempre più in crescita, strada di guadagno facile per i cyber criminali. Il problema funesterà lo stato delle nostre CPU per tutto il 2018, almeno finchè le cirpto valute continueranno ad avere dei valori così alti.
 
Come proteggersi?
Seqrite individua i miner di cripto valuta come dannosio. Si può anche aggiungere SRI Integrity Attribute, che consente al browser di verifica se un file viene modificato e consente, nel caso sia accaduto, di rigettarlo. Qui ulteriori informazioni.
 
Per una soluzione definitiva, consiglia ancora Helme, è possibile usare una policy di Content Security e l'uso di SRI Integrity Attribute per essere sicuri che non venga consentito il caricamento di alcuno script su pagine senza il SRI integrity attribute.