新聞的部分應該蠻好搜的,這邊抓個中央社的:「揭弊者協會網站疑有惡意程式 黃國昌:沒有資安外洩」。
網站現在已經離線了,但 Internet Archive 上的資訊已經足夠判斷,看起來至少首頁就被植了?
從 https://web.archive.org/web/*/https://www.tawpa.org/ 可以看到首頁上最近的兩筆是這兩個 archive (以寫這篇的當下):
- 20250313220309 (2025/03/13)
- 20241206095011 (2024/12/06)
直接翻網頁 html 比較可以看到 3041 行以前的結構都一樣,但今年三月的 archive 多了一組 <script></script>,這是 2024/12/06:
然後是 2025/03/13:
從 archive 版本可以看到首頁上面沒有 reCAPTCHA,但卻被埋了一個叫做 recaptcha.js 的東西,另外到 Google 搜 gerikinage 這個關鍵字也找不到什麼東西,WHOIS 資料也可以看到是去年暑假才註冊的網域:
Domain Name: gerikinage.com
Registry Domain ID: 2898462635_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com/
Updated Date: 2025-03-15T07:00:00Z
Creation Date: 2024-07-11T07:00:00Z
然後是網站的部分:
;; ANSWER SECTION: www.gerikinage.com. 300 IN A 139.180.215.149
139.180.215.149 這個 IP 是新加坡的 Vultr 主機,從 Shodan 上的資料也可以看到一些資訊:「139.180.215.149」。
再來是這個網址 https://www.gerikinage.com/recaptcha.js 會吐什麼東西,這邊會依照 user-agent 有不同的回應,在什麼都不帶進去時只有簡單的 code:
以及帶入 Referer 與 User-Agent 後會多出很多 javascript code:
可以看到用了 fingerprint.js,試圖取得瀏覽器的指紋資訊,依照程式邏輯隨便塞個 murmur 再往下會發現他不給 js 了,變成給一張圖:
這邊是 APT 類的手法,利用 browser fingerprint 針對特定的裝置 (像是手機的型號,或是透過其他方式先知道 fingerprint) 才吐特定的 javascript code。
在不知道攻擊的目標是什麼的情況下不太容易往下追,不過追到這邊已經有 87% 的把握是木馬了...