Эксперты компании Sucuri обнаружили необычный JavaScript-майнер, загружаемый при посещении взломанного сайта. Злоумышленники используют технологию WebAssembly чтобы ускорить исполнение сценария и осложнить выявление вредоносных действий.
WebAssembly (.wasm) — это бинарный формат инструкций, который используется в браузере для высокопроизводительных приложений на веб-страницах и выполняется намного быстрее, чем обычный JavaScript.
Вредоносный фрагмент кода был обнаружен в файлах темы на одном из личных сайтов WordPress. Каждый раз, когда посетитель заходит на веб-страницу, вредоносный код WebAssembly загружает на стороне клиента скрипт auto.js со специального домена.
Содержимое JavaScript-файла обфусцировано с помощью CharCode. При декодировании можно убедиться, что это криптомайнер, стартующий при каждом визите на сайт. Расшифрованный файл auto.js также содержит инструкции для операций майнинга, которые исполняются в браузере вместе с JavaScript.
Специалисты ожидают расширения использования WebAssembly злоумышленниками, несмотря на зависимость от JavaScript. Код Wasm не способен самостоятельно собирать данные, подключаться к интернету и отправлять полученное на сторону.