供应链攻击又一例：骇客以StatCounter为跳板入侵加密货币交易中心Gate.io

资安业者ESET本周揭露一起罕见的供应链攻击事件，骇客先是入侵了热门的网络分析平台StatCounter，于StatCounter上植入恶意的JavaScript，藉以攻击利用StatCounter分析流量的网站，首个受害者为加密货币交易平台gate.io。

各家网站可在需要追踪访客流量的网页上嵌入www.statcounter[.]com/counter/counter.js，骇客即窜改了此一JavaScript档案，注入了恶意程式，先检查采用该JavaScript的网址是否含有myaccount/withdraw/BTC，显示是相准比特币的交易网页而来，ESET分析之后发现，只有gate.io拥有此一有效的通用资源识别码（Uniform Resource Identifier, URI）。

在确定流量来自myaccount/withdraw/BTC之后，会再注入另一个脚本程式，可自动将比特币的转账位址改成骇客所掌控的加密货币钱包，由于骇客每次都会提供一个不同的钱包位址，使得研究人员无从判断骇客的不法所得规模。

gate.io在Alexa的全球流量排行榜上名列第26,251名，在中国流量排行榜上则是8,308名，若只计算加密货币交易平台，gate.io则排名第39名。

至于StatCounter在全球则有超过200万个合作网站，每月纪录逾100亿个网页流量。

ESET恶意程式研究人员Matthieu Faou表示，骇客为了攻击特定的加密货币交易平台，入侵了StatCounter，代表就算网站都会定期更新且受到良好的保护，还是可能因为最脆弱的环节而受损，在此一案例中为外部的资源，也再度显示出这些由第三方控制的外部JavaScript程式在任何时候都可能因为不察而被变更。