本文提出了一种名为 MINOS 的轻量级实时加密劫持检测系统，专门针对基于 WebAssembly (Wasm) 的加密劫持恶意软件。传统的动态分析检测方法需要恶意软件运行一段时间以收集动态特征，导致显著的计算开销。MINOS 利用深度学习技术，将 Wasm 二进制文件转化为图像，并使用卷积神经网络 (CNN) 模型进行图像分类，从而区分良性网页和利用 Wasm 进行未经授权挖矿的恶意网页。研究团队使用包含当前恶意和良性 Wasm 二进制的全面数据集训练模型。实验结果表明，MINOS 在实时检测中达到了 98.97% 的准确率，平均检测时间仅为 25.9 毫秒，CPU 占用率最高为 4%，RAM 占用率最高为 6.5%，证明其高效、轻量且计算成本低。该系统的核心贡献在于解决了传统方法的高开销问题，实现了即时检测，适用于浏览器安全场景。

本文针对持续集成（CI）服务平台上日益猖獗的非法加密货币挖矿行为（称为 Cijacking）进行了系统研究。与以往浏览器端挖矿劫持不同，Cijacking 将挖矿活动伪装成正常的 CI 作业，如容器镜像构建和测试，使得检测更加困难。研究者通过分析攻击者必须指定的关键挖矿信息（如钱包地址和矿池域名），从 GitHub 仓库和 CI 平台日志中恢复了攻击痕迹，共发现 1,974 个 Cijacking 实例，涉及 12 种不同加密货币、30 个攻击活动，波及 11 个主流 CI 平台。研究还揭示了攻击策略随平台防护措施演化的过程、挖矿作业的持续时间（长达 33 个月）及其生命周期，并估算出攻击者每月收益超过 2 万美元。为应对这一威胁，作者提出了一种名为 Cijitter 的创新防御技术，通过在 CI 工作流执行中策略性地注入延迟，不成比例地惩罚需要在时间约束下完成一系列任务的挖矿作业。实验评估表明，Cijitter 能显著压缩矿工收益至无利可图，同时对正常 CI 作业性能影响极小（94.3% 的 CI 作业延迟增加低于 10%）。该研究为 DevSecOps 社区提供了重要的威胁情报和实用缓解方案。