Ünlü torrent sitesi thepiratebay.se, geçen sene Eylül ayında para kazanmak için ziyaretçilerinin işlemcisini kullanarak kripto para madenciliği yapmayı denemişti. Site bunun için bir JavaScript kodu olan Coinhive'ı siteye eklemişti.
Ekim 2017 itibariyle 500 milyon PC'nin "cryptojacking"e, yani sitelerin kripto madenciliğine maruz kaldığı tahmin ediliyordu. Bazı reklamcılar biraz daha ileri giderek bu kodları YouTube'da yayınladıkları reklamın içine yerleştirmeyi başarmışlardı. Bu reklamlar Google tarafından hızla kaldırılsa da, bir sonraki hamlenin zemini hazırlanıyordu.
İngiliz güvenlik danışmanı Scott Helme, pazar günü İngiltere'nin Bilgi Komisyonu Ofisi'nin (ICO) web sitesinin bir antivirüs tarafından işaretlendiğini fark etti. Durumu biraz araştıran Helme, web sitesinde Coinhive kodunun bir üçüncü parti kitaplık tarafından yüklendiğini fark etti.
Bu üçüncü parti kitaplık, Texthelp adlı bir firma tarafından sağlanıyordu. Texthelp'in görme engelli kullanıcılara yardımcı olan popüler Browsealoud eklentisini işlettiği biliniyor. Bu eklentiyi yükleyen herhangi bir sitenin Coinhive kodlarını çalıştırıyor olabileceğini düşünen Helme, 4.000'den fazla web sitesinin Coinhive içerdiğini, bunların içinde Birleşik Krallık, ABD ve Avustralya'ya ait devlet sitelerinin yer aldığını keşfetti.
Araştırmacı, tek bir firmanın hack'lenmesinin İngiltere, İrlanda ve ABD'da binlerce sitenin hack'lenmesi anlamına geldiğini söylüyor. Bu tür saldırılar yeni olmasa da, araştırmacı saldırının bu kadar büyüğüne ilk kez rastladığını belirtti.
Texthelp, Browsealoud eklentisini sorunu araştırıp çözmek üzere Salı günü 12:00 GMT'ye kadar devre dışı bıraktı. Firma, müşterilerinin verilerinin ele geçmediğini, kripto madenci kodunun sadece Pazar günü dört saat boyunca çalıştığını belirtti.