bshare分享插件被黑？百万级网站被劫持事件

主要观点总结

奇安信网站云监测和威胁情报中心发现许多站点在晚上9点至凌晨5点使用安卓UA的设备访问时会跳转至色情网页，经查发现是使用了bshare分享插件的网页受到了攻击。攻击者通过抢注过期的通用插件服务域名static.bshare.cn来进行网页劫持。所有直接或间接使用了bshare分析插件的网页都会受到影响，影响范围可能达到百万级别。建议立即下线恶意脚本，用户应加强防护，对第三方依赖脚本进行全面安全排查。

关键观点总结

关键观点1: 攻击事件概述

攻击者通过抢注过期的bshare插件服务域名来进行网页劫持，影响范围广泛，可能涉及百万级别的网页。

关键观点2: 攻击手法

攻击者使用了bshare分享插件，通过修改插件中的JS代码来实施推流或其他网络攻击行为。

关键观点3: 受影响的对象

所有直接或间接引用恶意脚本的网页，尤其是使用了bshare插件的网页。

关键观点4: 紧急应对措施

1. 立即下线恶意脚本并清除浏览器缓存；2. 用户应加强防护，避免访问相关页面；3. 对所有第三方依赖脚本进行全面安全排查。

关键观点5: IOC信息

提供了相关的域名和URL信息，包括static.bshare.cn、360bs.julupan.com等色情域名，以及相关的JS文件路径。

文章预览

概述 奇安信网站云监测和奇安信威胁情报中心在日常威胁狩猎活动中，发现很多站点在晚上9点至凌晨5点使用安卓UA的设备访问时，会跳转至同一色情网页。起初我们认为这批站点由于自身安全缺陷导致被黑产组织攻破利用，经过进一步分析，发现这些网页都引用了名为bshare的分享按钮插件，该插件对应的服务域名为static.bshare.cn；最后通过对域名static.bshare.cn的分析，我们确认这是一起通过抢注过期通用插件服务域名来实施大范围网页劫持的攻击事件。 所有直接或间接使用了bshare分析插件的网页都会受到影响。根据评估，恐怕会影响百万级别的网页。奇安信威胁情报中心在此提醒目前仍在使用bshare插件的用户，需要尽快更换或者停用bshare分享插件。 事件分析 安全监测系统监控到许多网页存在JS异常跳转： 经审查，页面包含以下源码： static.bshare.cn ………………………………