使用WebAssembly的网站有一半是出于恶意目的

根据去年发表的学术研究，大约一半的网站出于恶意目的使用网络组装这种新的网络技术。

WebAssembly是一种低级字节码语言，是各大浏览器厂商合作后产生的。

它引入了一种新的二进制文件格式，用于将代码从web服务器传输到浏览器。到达浏览器后，WebAssembly代码(Wasm)以接近本机代码的速度执行，类似于编译后的c、c或rust代码。

WebAssembly是为了速度和性能而创建的。由于其二进制的机器友好格式，Wasm代码比等效的JavaScript形式更小，但执行起来要快很多倍。这使得WebAssembly成为Adobe Flash的下一个化身，它允许网站在不冻结浏览器的情况下运行复杂的cpu密集型代码，而JavaScript从未为此进行过设计或优化。

WebAssembly于2017年首次提出，并于2019年底正式被批准为W3C(万维网联盟)标准。目前所有主流浏览器都支持，包括桌面和移动设备。

在去年进行的一项学术研究中，来自德国布劳恩斯威格理工大学的四名研究人员研究了网络组装在互联网上一百万个最受欢迎的阿列克谢网站上的使用情况，试图衡量这项新技术的受欢迎程度。

在四天的时间里，研究团队加载了Alexa排名前100万的网站和三个随机页面，并测量了WebAssembly的使用情况以及每个网站运行代码所花费的时间。

研究团队表示，他们分析了来自Alexa Top 1亿网站的947，704个网站中WebAssembly的使用情况(其中一些网站在测试期间离线或超时)，并分析了3，465，320个独立页面的代码。

研究团队表示，“一般来说，我们发现1639个站点加载了1950个Wasm模块，其中150个是独特的样本。”

他们说：“这意味着一些Wasm模块非常受欢迎，可以在许多不同的网站上找到。"有一次，同样的模块出现在346个不同的网站上."

“另一方面，87个样本完全是独一无二的，只在一个网站上找到，这说明很多模块都是一个网站定制开发的。”

但是研究小组也研究了每个网站加载的Wasm代码的性质。他们手动分析代码，查看函数名和嵌入的字符串，然后绘制类似于代码的簇。

研究人员表示，他们分析的绝大多数代码样本用于加密货币挖掘(占样本的32%)和网络游戏(占样本的29.3%)。

然而，尽管大多数示例用于合法目的，但有两种类型的Wasm代码本质上是恶意的。

第一种类型是用于加密货币挖掘的WebAssembly代码。这些类型的Wasm模块经常出现在被攻击的站点上，这是所谓的免下车挖掘攻击的一部分。

第二类是包装在模糊Wasm模块中的WebAssembly代码，这些模块故意隐藏它们的内容。据研究团队称，这些模块是恶意宣传活动的一部分。

研究团队表示，这两种类型的代码占他们发现的样本的38.7%，但他们分析的网站中有一半以上使用了这些模块，主要是因为这些代码经常在多个领域重复使用，这是大规模黑客攻击的一部分。

展望未来，研究人员表示，他们相信恶意使用WebAssembly代码的趋势在未来会得到越来越多的关注。

研究团队说：“我们现在看到的只是新一代网络恶意软件的困惑的冰山一角。”

学者建议网络安全公司投资更新安全产品，以应对这一新技术带来的新威胁。

标签：