开源代码库遭黑客攻击助力挖矿行为

近日，互联网经历了一次地震事情。由于开放源代码库Log4j中存在缝隙，世界各地许多服务器忽然遭到相对简略的进犯。第一波黑客进犯正在进行，但你真实应该忧虑的是下一波进犯。

到现在为止，Log4j黑客举动中冲锋在前的主要是加密钱银挖矿机，也便是从受影响体系中抽取资源挖掘加密钱银的恶意软件。根据微柔和其他国家最近的报告，一些国家特务也已开始进入。

网络安全领域普遍存在夸张炒作现象，恐惧、不确定性和置疑的传达亦是如此。许多软件都有缺陷，不可能全都如此严峻。不过，从方方面面来讲，Log4j（也叫Log4Shell）缝隙并没有被夸张，其间原因有许多。首先是Log4j本身的普遍性。它能协助开发人员追寻应用程序中的一切状况。由于其开源性和可靠性，人们常常会挑选刺进Log4j，而不是从头建立自己的日志库。此外，许多现代软件是由各种供应商和产品组合而成，许多潜在受害者很难、乃至不可能全面了解自己的受影响程度。

要想使用Log4Shell也相对简略。只需发送一段恶意代码，然后等待它被日志记录下来。一旦发生这种状况，你就能在受影响的服务器上长途运行你想要的任何代码。（注意：这是扼要总结，实际操作过程要略微复杂一点。别的，Log4j2.0以前的版别好像未受影响，此事还存在一些争论。）

正是这种严峻性、简略性和普遍性的结合，让安全界感到不安。特纳布尔网络安全公司首席执行官阿米特·约伦说：“它是迄今为止最大、最严峻的一个缝隙。”

但是，到现在为止，灾难好像迟迟没有显现。黑客肯定盯上了Log4j，据发言人埃克拉姆·艾哈迈德说，近来，捷邦安全软件科技公司已经发现超越180万次使用该缝隙发起的进犯。在某些时刻，每分钟有100屡次进犯测验。尽管如此，现在仍以加密币挖矿机为主。

索福斯网络安全公司的高级威胁研究员肖恩·加拉格说：“矿工通常是最先进入这些事情的人，由于此类网络违法风险最低。侵略之后不需求许多黑客进犯，部署起来也不需求许多键盘操作技巧……仅有需求的便是一个易受进犯的缝隙。”

此时快讯

【DWF Labs向Crust Network投资七位数资金】7月10日消息，去中心化存储方案Crust Network宣布，已获得DWF Labs的七位数资金。新资金将使Crust Network能够进一步增强其基础设施并扩大其在去中心化存储领域的业务。Crust Network表示将于7月17日推出EVM存储服务，为基于EVM的区块链提供去中心化存储解决方案。