CSS как прикрытие: хакеры массово захватывают чужие веб-ресурсы
NewsMakerНевидимые скрипты атакуют сайты по всему миру. Как защититься?
На более чем 500 правительственных и университетских веб-сайтах по всему миру обнаружена новая атака с использованием JavaScript . Злоумышленники внедрили вредоносные скрипты, создающие скрытые ссылки в DOM (Document Object Model), которые перенаправляют пользователей на сторонние ресурсы. Атака была выявлена 20 января 2025 года, но по состоянию на 22 января ни одна система обнаружения угроз не зафиксировала эту активность.
По данным компании c/side, целью атаки является использование методов «чёрной» SEO-оптимизации. Вредоносные ссылки, внедряемые в код, визуально скрываются с помощью CSS . Один из примеров используемого стиля:
На более чем 500 правительственных и университетских веб-сайтах по всему миру обнаружена новая атака с использованием JavaScript . Злоумышленники внедрили вредоносные скрипты, создающие скрытые ссылки в DOM (Document Object Model), которые перенаправляют пользователей на сторонние ресурсы. Атака была выявлена 20 января 2025 года, но по состоянию на 22 января ни одна система обнаружения угроз не зафиксировала эту активность.
По данным компании c/side, целью атаки является использование методов «чёрной» SEO-оптимизации. Вредоносные ссылки, внедряемые в код, визуально скрываются с помощью CSS . Один из примеров используемого стиля:
style="overflow: auto; position: absolute; height: 0pt; width: 0pt;" Такой подход позволяет ссылкам оставаться незаметными для пользователей, при этом они индексируются поисковыми системами, повышая рейтинг связанных ресурсов. Скрипты размещаются на домене scriptapi[.]dev, где выявлено несколько их разновидностей, например: - scriptapi[.]dev/api/smacr[.]js
- scriptapi[.]dev/api/en[.]tlu[.]js
- scriptapi[.]dev/api/harvardpress[.]js