區塊鏈安全咨詢公司 曲速未來 表示：當站點所有者在其站點中使用第三方腳本時，有必要監視該腳本是否已被放棄。否則，就可能會發現不良演員出現并用惡意劇本替換劇本，然后將其顯示給訪問者。

這正是在2018年7月被放棄/停止的名為New Share Counts的推文計數器所發生的事情。當該服務停止時，開發人員在他們的newsharecounts.com域上發布了一條消息，指出該服務已經死亡，并為其他人提供了建議。要使用的服務。

已停止的消息

根據Sucuri的研究，超過800個站點沒有收到消息，并繼續將棄置的New Share Counts腳本從S3桶中嵌入到他們的站點中，http：//newsharecounts.s3-us-west-2.amazonaws [。] COM / nsc.js。然后，此腳本從newsharecounts.com加載另一個腳本，該腳本不再可訪問，因此它對使用它的站點沒有影響。

直到有人控制了這個S3存儲桶并用惡意版本替換了nsc.js腳本。

BleepingComputer的研究顯示S3存儲桶被取消，然后一天后有人注冊了一個同名的新存儲桶并上傳了惡意的nsc.js腳本。這導致該惡意腳本被仍在嘗試加載原始New Share Counts服務的800個站點使用。

通過查看Archive.org上的快照，BleepingComputer能夠匯總所發生的事情：

• 2018年8月4日，它展示了合法的New Share Counts劇本。

• 2018年8月5日，AWS S3存儲桶已關閉，無法再訪問已放棄的腳本。

• 10月3日，AWS S3存儲桶被取消。

• 10月4日，一名壞演員在http：//newsharecounts.s3-us-west-2.amazonaws [。] com的同名名下注冊了一個新的AWS S3存儲桶，并上傳了惡意版本的nsc.js腳本。

惡意腳本將訪問者重定向到騙局網站

Sucuri的研究表明，惡意腳本（如下所示）會在用戶嘗試按下后退按鈕時將用戶重定向到詐騙網站。

混淆的惡意腳本

當用戶加載頁面時，會添加惡意事件處理程序。此處理程序將等待用戶點擊其設備上的“后退”按鈕或嘗試導航到上一頁。Sucuri的研究表明。“然后它會觸發一個事件，導致瀏覽器打開到以下目的地：m.richalsu[.]mobi/？utm_medium=0e0597838a322711594e7fff060c21106f1795d8＆utm_campaign= a-back-2＆1=這會將用戶引導到一個騙局頁面，而不是返回到上一頁。”

您可以在下面看到將用戶重定向到m.richalsu[.]mobi站點的反混淆腳本。

反混淆腳本

當用戶被重定向時，他們將被帶到一個騙局網站，如下所示，表明您已經贏得了Macbook，iPhone，三星Galaxy或iPad，并且您必須提供個人信息才能獲得獎品。

重定向的詐騙站點

不言而喻，如果您看到上述類似的網站，則不應輸入您的個人信息。此信息可用于身份盜用或其他不需要的目的。

保護自己免受腳本劫持

區塊鏈安全咨詢公司 曲速未來 提醒：雖然從CDN或第三方站點運行外部腳本有其優勢，但它也會打開惡意活動的網站。這是因為腳本不在您的控制之下，并且惡意代碼可能會在開發人員或攻擊者不知情的情況下被添加到腳本中。

可以避免這種情況的一種方法是使用稱為子資源完整性（SRI）的功能。SRI允許您為要加載的外部腳本指定哈希值，如果該腳本與哈希值不匹配，則瀏覽器不會加載它。

這樣做可以防止被劫持的腳本被執行，但如果第三方使用合法代碼更新腳本，則可能會導致問題。