【安全资讯】Pastebin评论推送ClickFix式JavaScript攻击，劫持加密货币兑换交易

概要：

网络安全研究人员发现一种新型的ClickFix式攻击正在通过Pastebin平台传播，专门针对加密货币用户。攻击者利用社交工程手段，诱骗用户在浏览器中执行恶意JavaScript代码，从而劫持比特币兑换交易，将资金重定向至攻击者控制的钱包。这种攻击手法新颖，直接利用浏览器功能篡改合法交易流程，对数字货币交易安全构成严重威胁。

主要内容：

此次攻击活动由BleepingComputer发现，攻击者通过遍历Pastebin帖子并留下评论进行推广。评论声称泄露了能利用Swapzone.io套利漏洞的文档，承诺用户在两天内可获利1.3万美元，并附上一个指向rawtext[.]host的链接。该链接最终跳转至一个伪造的Google Docs指南页面。

该虚假指南诱骗受害者访问Swapzone.io，并指导他们在浏览器地址栏中手动执行一段托管在paste[.]sh上的JavaScript代码。此技术滥用了浏览器的'javascript:' URI功能，允许在当前加载的网站上执行代码。受害者一旦在Swapzone.io页面上运行此代码，攻击者便能操控页面。

恶意脚本会从https://rawtext[.]host/raw?btulo3加载一个经过高度混淆的二级载荷。该脚本被直接注入Swapzone页面，覆盖用于处理比特币兑换的合法Next.js脚本，从而劫持兑换界面。脚本内嵌了比特币地址，会随机选择并注入到兑换流程中，替换掉交易所生成的合法存款地址。

由于代码在用户的Swapzone.io会话中执行，受害者看到的是看似正常的界面，但最终会将资金发送到攻击者控制的钱包。此外，脚本还会修改显示的汇率和报价，让所谓的套利漏洞看起来正在生效。这是一种新型的ClickFix攻击变种，传统上ClickFix攻击通过诱骗用户运行PowerShell命令来针对操作系统，而此次攻击则转向浏览器环境，专门设计用于窃取加密货币。