На прошлой неделе неизвестные злоумышленники сумели скомпрометировать одного из разработчиков немецкой команды A9t9, создавшей популярное расширение Copyfish для Chrome. Copyfish позволяет пользователям извлекать текст с картинок, видео или PDF документов, и инструментом пользуются более 37 500 человек.

Еще в прошлую субботу, 29 июля 2017 года, пользователи заметили нечто подозрительное. Как оказалось, после выхода очередного обновления расширение начало внедрять в код страниц навязчивую рекламу.

Дело в том, что один из разработчиков A9t9 стал жертвой обыкновенного фишинга: ему прислали письмо со ссылкой, якобы от лица команды разработки Google Chrome. После перехода по вредоносной ссылке автор расширения попал на поддельную страницу входа в аккаунт Google, располагавшуюся по адресу chromedev.freshdesk[.]com. Адрес почему-то не смутил пострадавшего, он ввел на фальшивом сайте свои учетные данные, после чего в руках злоумышленников оказалось управление девелоперским аккаунтом Copyfish.

Вот так выглядела атака

В результате в субботу Copyfish обновилось до версии v2.8.5, но апдейт выпустили совсем не разработчики A9t9. Новая версия расширения содержала вредоносный JavaScript, который внедрял рекламу на все сайты, которые посещали пользователи. Невзирая на явно вредоносное поведение ПО, авторам Copyfish понадобилось больше суток, чтобы заметить, что с их продуктом происходит нечто нехорошее.

Сообщается, что злоумышленники передали управление расширением собственному аккаунту, так что настоящие авторы Copyfish не могли никак повлиять на происходящее. Связаться с поддержкой Google команде удалось лишь после публикации записи о происходящем в официальном блоге (текст попал на Hacker News и привлек всеобщее внимание).

В настоящее время удалось купировать вредоносные функции Copyfish (автор сервиса Unpkg CDN блокировал работу вредоносных файлов JavaScript), но расширение вернулось под контроль A9t9 лишь сегодня, 1 августа 2017 года. Зараженную версию уже исключили из Chrome Web Store, а A9t9 загрузили в каталог «чистую» копию, которая пока ожидает одобрения. Пользователям настоятельно рекомендуется удалить вредоносный Copyfish и, если нужно, пока использовать вместо него аддон для Firefox.



8 комментариев

  1. Il

    02.08.2017 at 00:01

    Ну реклама это не самое худшее что могло случиться.

  2. pancho

    02.08.2017 at 00:05

    Почву прощупывали как мне кажется

  3. BigTree

    02.08.2017 at 00:19

    Зачем писать на эту тему статьи? Вы хоть представляете сколько плагинов к хрому показывают рекламу? Десятки тысяч. Самих только контор которые занимаются монетизацией расширений просто десятки. Практически все разработчики бесплатных ресширений рано или поздно начинают задумываться как бы получать копейку с их продукта. Есть расширения у которых сотни тысяч активных пользователей и ниче, пользователи пользуются расширением, разработчик получает копейку. В большинстве случаем пользователи даже не замечают, что их по чуть-чуть монетизируют, это делается не навязчиво. Никто же не возмущается от рекламы на сайтах, а чем разработчики расширений хуже?
    Понятно что это нелегально, гуглу уже давно вместо того что бы бороться с этой Горгоной нужно было сделать что бы монетизация шла через них. И они бы зарабатывали и разработчик, что бы все легально. Писать на эту тему нету смысла, поскольку это носит масовый характер.

  4. surfer

    02.08.2017 at 08:54

    «и инструментом пользуются более 37 500 человек» — прямо огромная масса народа. В общей миллиардной базе пользователей Chrome.

  5. john_

    02.08.2017 at 17:22

    А как обновление прошло мимо гугла? Обновы же тоже проверяются?? Никто из корпорации добра не заметил скриптов?

Оставить мнение