Ранее на этой неделе стало известно, что неизвестные злоумышленники сумели скомпрометировать одного из разработчиков немецкой команды A9t9, создавшей популярное расширение Copyfish для Chrome, позволяющего пользователям извлекать текст с картинок, видео или PDF документов. В результате расширение начало внедрять в код просмотренных пользователями сайтов рекламу, и разработчикам пришлось приложить немало усилий, чтобы вернуть себе контроль над продуктом.
Теперь стало известно, что от очень похожей атаки пострадал разработчик расширения Web Developer, которым пользуется более миллиона человек. Расширение добавляет в Chrome всплывающее окно с отладочными инструментами для разработчиков, и пользуется у последних заслуженной популярностью. Автором инструмента является Крис Педерик (Chris Pederick), главный инженер компании Bleacher Report.
2 августа 2017 года в своем твиттере специалист сообщил, что он стал жертвой злоумышленников из-за того, что поверил содержанию фишингового письма, полученного накануне. После этого неизвестные получили доступ к его аккаунту разработчика Google. Позже Педерик также опубликовал сообщение в своем блоге, где подробно изложил всю хронологию случившегося.
Weird thing is I could only get 2 machines out of 10 to generate the ads. All had 0.4.9 on them. pic.twitter.com/ZG0L1h75qT
— ᕦ[ •́ ﹏ •̀ ]⊃-]═── (@SEOMalc) August 2, 2017
Не теряя времени даром, в тот же день злоумышленники выпустили обновленную версию Web Developer (0.4.9), содержащую вредоносный код. Как и в случае с Copyfish, обновленная версия комплектовалась JavaScript, который внедрял рекламу на все сайты, которые посещали пользователи. В теории подконтрольное неизвестным взломщикам расширение могло пойти и дальше, вплоть до перехвата нажатий клавиш и слежения за пользовательским трафиком.
К счастью, Педерик узнал о происходящем через несколько часов после появления вредоносной версии, немедленно сменил пароль от своей учетной записи Google и включил двухфакторную аутентификацию, чтобы избежать повторения случившегося. Затем Педерик убрал из Chrome Web Store вредоносную версию 0.4.9 и заменил ее «чистой» версией 0.5. Также специалист сообщил об инциденте инженерам Google, но пока не получил от них никакого ответа.
Version 0.5 of Web Developer for Chrome is now live which removes the compromised code. Please update immediately.
— Chris Pederick (@chrispederick) August 2, 2017
Разработчик призывает всех пользователей немедленно обновить Web Developer до безопасной версии, если они еще этого не сделали (аддоны для Firefox и Opera атака не затронула). В блоге Педерик пишет, что в настоящее время он продолжает изучение вредоносного кода, но дело продвигается медленно, так как код весьма сложен. Разработчик полагает, что пострадал от действий тех же злоумышленников, что ранее сумели скомпрометировать Copyfish.