Ранее на этой неделе стало известно, что неизвестные злоумышленники сумели скомпрометировать одного из разработчиков немецкой команды A9t9, создавшей популярное расширение Copyfish для Chrome, позволяющего пользователям извлекать текст с картинок, видео или PDF документов. В результате расширение начало внедрять в код просмотренных пользователями сайтов рекламу, и разработчикам пришлось приложить немало усилий, чтобы вернуть себе контроль над продуктом.

Теперь стало известно, что от очень похожей атаки пострадал разработчик расширения Web Developer, которым пользуется более миллиона человек. Расширение добавляет в Chrome всплывающее окно с отладочными инструментами для разработчиков, и пользуется у последних заслуженной популярностью. Автором инструмента является Крис Педерик (Chris Pederick), главный инженер компании Bleacher Report.

2 августа 2017 года в своем твиттере специалист сообщил, что он стал жертвой злоумышленников из-за того, что поверил содержанию фишингового письма, полученного накануне. После этого неизвестные получили доступ к его аккаунту разработчика Google. Позже Педерик также опубликовал сообщение в своем блоге, где подробно изложил всю хронологию случившегося.

Не теряя времени даром, в тот же день злоумышленники выпустили обновленную версию Web Developer (0.4.9), содержащую вредоносный код. Как и в случае с Copyfish, обновленная версия комплектовалась JavaScript, который внедрял рекламу на все сайты, которые посещали пользователи. В теории подконтрольное неизвестным взломщикам расширение могло пойти и дальше, вплоть до перехвата нажатий клавиш и слежения за пользовательским трафиком.

К счастью, Педерик узнал о происходящем через несколько часов после появления вредоносной версии, немедленно сменил пароль от своей учетной записи Google и включил двухфакторную аутентификацию, чтобы избежать повторения случившегося. Затем Педерик убрал из Chrome Web Store вредоносную версию 0.4.9 и заменил ее «чистой» версией 0.5. Также специалист сообщил об инциденте инженерам Google, но пока не получил от них никакого ответа.

Разработчик призывает всех пользователей немедленно обновить Web Developer до безопасной версии, если они еще этого не сделали (аддоны для Firefox и Opera атака не затронула). В блоге Педерик пишет, что в настоящее время он продолжает изучение вредоносного кода, но дело продвигается медленно, так как код весьма сложен. Разработчик полагает, что пострадал от действий тех же злоумышленников, что ранее сумели скомпрометировать Copyfish.

4 комментария

  1. Skybad

    04.08.2017 at 16:44

    Мир не безопасен. Гугл «-» в карму что такое пропустили

    • Il

      04.08.2017 at 21:29

      А гугл причем? Или гугл ещё более должен за пользователями следить, чтобы те куда попало не жмякали?

      • john_

        07.08.2017 at 07:12

        Гугл должен проверять обновления. Если бы я был злоумышленником — запустил бы приложение/расширение в магазин, выждал несколько месяцев, а потом внедрил вредоносный код. Гугл не проверяет, каждое обновление вряд ли кто то реверсить будет. Собирай урожай. Профит.

  2. john_

    07.08.2017 at 07:13

    Как люди до сих пор не юзают двуфакторную авторизацию????

Оставить мнение