随着互联网应用的不断普及,网络攻击手段也日益复杂化。2025年3月底至4月底期间,全球范围内超过269,000个网站遭到了JSFireTruck恶意JavaScript代码的感染,引发业界高度关注。这场大规模攻击不仅影响了众多合法网站的正常运营,也让用户面临严重的安全风险。JSFireTruck恶意代码依托复杂的混淆手段,使得检测和防御难度大大增加。此类攻击的技术核心是利用JSFuck技术进行代码混淆,JSFuck是一种极端的JavaScript混淆方法,使用有限的特殊符号编写代码,虽原意为教育用途,但现在被黑客用来隐藏恶意逻辑。Palo Alto Networks的Unit 42安全团队称这种混淆技术为JSFireTruck,暗示代码内容涉及大量脏话,反映出攻击者的恶意意图。
研究人员通过分析发现,这些恶意脚本会监测访问者的来源网页,即document.referrer属性。一旦访问来源是常见搜索引擎,如Google、Bing、DuckDuckGo、Yahoo!或AOL,脚本便会将用户重定向至恶意网站。这些恶意网站承担着传播多种威胁的功能,包括下载安装恶意软件、执行漏洞利用、实施流量货币化及推广虚假广告。单日感染峰值出现在4月12日,当天新增感染页面超过5万个,显示出攻击活动存在明显的爆发态势。此次JSFireTruck攻击的规模与隐蔽性令业内专家忧虑。感染范围广泛,涵盖从流媒体站点到文件分享服务,再到插入恶意广告的合法网站,攻击者通过分布式且协同的方式进行入侵,极大提升了攻击的效果。
相关研究指出,攻击链中还存在名为HelloTDS的高端流量分发服务。HelloTDS根据访问者的设备指纹、地理位置、IP地址等多维度信息,智能判断是否对目标发起攻击,或将其引向表面无害的页面,进而规避安全检测和威胁分析。HelloTDS主要托管在.top、.shop和.com等域名后缀下,利用分阶段的多重指纹识别收集网络及浏览器数据,为后续精准投放恶意内容提供支持。该服务会引导用户进入伪造的验证码页面、技术支持骗局页面、虚假浏览器更新页面以及加密货币诈骗页面。这些伪造的验证码页面采用ClickFix策略,欺骗用户执行恶意代码,进而让用户设备感染名为PEAKLIGHT(又称Emmenhtal Loader)的信息窃取恶意软件。PEAKLIGHT已知可扩展并下载多种间谍软件,商业环境及个人用户均面临极大隐私和安全风险。
此次活动充分展现了攻击者利用先进策略规避传统防御手段的能力。通过多层次域名动态更替、复杂的设备指纹技术以及伪装成合法站点的欺诈页面,恶意脚本有效绕过漏洞扫描、内容安全策略和安全研究人员视觉检测。此外,针对使用VPN或自动化爬虫的访问请求,系统还能智能识别并拒绝,说明攻击者具备高超的反检测技术。防御此类攻击,首先需加强网站安全防护,从代码审计、第三方脚本管理到流量异常监测,均不可忽视。采用内容安全策略(CSP)限制外部脚本加载,落实严格的输入校验和输出编码,提升网站抵御代码注入的能力。其次,组织应强化实时监测与应急响应能力,通过行为分析和威胁情报共享,及时发现异常流量和可疑访问。
对员工开展网络安全培训,提高全员安全意识,是防护链条中不可或缺的一环。对于用户而言,避免点击不明链接,及时更新浏览器和防病毒软件,尽量使用信誉良好的安全工具,有助于减少感染风险。同时,企业可考虑部署先进的网页防火墙(WAF)和安全信息事件管理系统(SIEM),增强对恶意Javascript代码的识别和拦截能力。总结来看,JSFireTruck大规模感染事件为网站安全敲响了警钟。黑客利用复杂混淆技术和多阶段流量分发服务,成功入侵并操控大量合法网站,形成攻击跳板,影响波及广泛。网络安全体系建设需适应新型攻击手段,实现从预防、检测到响应的全覆盖,才能有效保护网络和用户的安全。
面对日益严峻的网络威胁环境,企业与安全研究机构应加强合作,提升整体防护水平,共同抵御类似JSFireTruck这类高复杂度恶意攻击,确保数字生态的健康与安全。
