起因在「jQuery.com Malware Attack Puts Privileged Enterprise IT Accounts at Risk」這篇,RiskIQ 的人偵測到 jQuery 官方網站異常,帶有惡意軟體。檢查後發現在官網的 html 裡面出現了 jquery-cdn.com
這個非官方的 domain:
這個 domain 可以看到是全新建立的:
Domain Name: JQUERY-CDN.COM Registrar: NAMESILO, LLC Whois Server: whois.namesilo.com Referral URL: http://www.namesilo.com Name Server: NS1.DNSOWL.COM Name Server: NS2.DNSOWL.COM Name Server: NS3.DNSOWL.COM Status: clientDeleteProhibited Status: clientRenewProhibited Status: clientTransferProhibited Status: clientUpdateProhibited Updated Date: 18-sep-2014 Creation Date: 18-sep-2014 Expiration Date: 18-sep-2015
透過這個 domain 一路穿出去將惡意程式導進來。
jQuery 官方收到 RiskIQ 的人通之後也開始調查發生什麼事情:「Was jquery.com Compromised?」、「Update on jQuery.com Compromises」。
就官方的調查看起來,還有好幾波不同的攻擊,故事還沒完結?