近期,多个开发者在V2EX等社区反馈,BootCDN中的资源被植入了后门代码,此情况于6月21日由墨菲安全通过OSCS社区发布风险预警。多个资源,如highlight.js、vconsole.min.js、react-jsx-dev-runtime.development.js等,被发现存在投毒现象。当用户使用移动端浏览器加载包含恶意JS文件的页面时,可能被重定向至...
BootCDN 风险预警,多个资源被植入后门代码
近期,多个开发者在V2EX等社区反馈,BootCDN中的资源被植入了后门代码,此情况于6月21日由墨菲安全通过OSCS社区发布风险预警。多个资源,如highlight.js、vconsole.min.js、react-jsx-dev-runtime.development.js等,被发现存在投毒现象。当用户使用移动端浏览器加载包含恶意JS文件的页面时,可能被重定向至博彩或色情网站。BootCDN作为一个开源的前端资源仓库,自2013年上线以来,共收录了4387个前端开源项目,为开发者提供稳定、快速、免费的静态资源加速访问。然而,其用户基数大且活跃,过去一个月中资源请求量近1500亿次,显示了其广泛使用性。开发者反馈,即使引入HTTPS资源,仍存在投毒风险。建议谨慎使用BootCDN资源文件,并加入SRI(子资源完整性)配置。
在分析投毒风险时,发现恶意代码隐藏在BootCDN资源文件中。以highlight.min.js为例,当移动端请求加载cdn.bootcss.com/highlight.js时,会加载恶意的highlight.js代码。恶意代码附加在正常代码底部,需判断User-Agent中不包含Mac和Win,并且Referer中包含“.”字符时执行nRgmSS函数。恶意代码加载伪造的jQuery文件,通过pastebin.com/fuCxWTGA或指定Referer和User-Agent请求获取。
恶意jQuery源码在页面底部增加浮动广告,并引入站点访问统计脚本。当满足以下条件时,浏览器将跳转至博彩网站:用户使用移动设备访问页面,页面URL包含特定关键词,referrer不是当前页面域名或子域名且包含"."字符,且每隔一段随机时间进行跳转。恶意网址newcrbpc.com和ktyk2n.com分别于2023年注册,对应IP位于印度马哈拉施特拉邦和美国加利福尼亚州。
反混淆后恶意代码显示,攻击者通过CDN在特定场景下注入恶意行为,导致资源请求异常。为了排查项目中是否使用了BootCDN资源,开发者可进行关键词匹配,检查项目中是否包含“cdn.bootcss.com”、“cdn.bootcdn.net”等字样,或使用浏览器开发者工具检查是否存在以上述域名开头的请求。
预防CDN投毒,开发者应采取以下措施:使用可信的资源仓库,减少对第三方资源库的依赖;在浏览器引用外部资源时,使用SRI策略验证资源完整性;定期使用组件漏洞扫描工具检测项目,实时监控CDN流量,检测异常流量和恶意行为;采用内容安全策略限制浏览器加载和执行的内容。2024-10-15
