Xakep #305. Многошаговые SQL-инъекции
Независимый ИБ-эксперт Трой Марш (Troy Mursch) связался с журналистами издания Bleeping Computer и предупредил о проблеме в популярном расширении Archive Poster для Chrome.
Archive Poster насчитывает более 100 000 установок и представляет собой мод для Tumblr, предоставляющий пользователям удобные инструменты для работы с сервисом. Но, как обнаружил Марш, несколько недель назад у расширения появилась еще одна недокументированная функция.
Согласно жалобам пользователей, еще в начале декабря в составе Archive Poster неожиданно появился майнинговый скрипт Coinhive. Марш подтвердил опасения пострадавших и сообщил, что майнер кроется в файле JavaScript, который подгружается с адреса c7e935.netlify[.]com/b.js.
«Файл b.js обращается к ресурсу whchsvlxch[.]site, который инициирует три websocket-сессии (c.wasm), чтобы запустить процесс майнинга», — объясняет специалист.
Скрытый майнер содержат как минимум четыре последние версии Archive Poster, с 4.4.3.994 по 4.4.3.998. При этом поддержка Chrome Web Store не спешила убрать расширение из официального каталога, невзирая на многочисленные жалобы. Пользователи пытались привлечь внимание к проблеме даже через Google Chrome Help Forum, но там им лишь посоветовали связаться с разработчиками расширения. Судя по всему, расширение "пропало" из каталога только вчера, когда о проблеме начали писать СМИ.
Последовать совету сотрудников Google и установить контакт с создателями Archive Poster, пока не удалось никому, включая Троя Марша и журналистов Bleeping Computer. В связи с этим до сих пор неизвестно, был майнер добавлен в код расширения намеренно, или разработчики Archive Poster стали новой жертвой длинной череды фишинговых атак, начавшейся еще минувшим летом. Напомню, что летом 2017 года неизвестные злоумышленники скомпрометировали сразу восемь популярных расширений для Chrome и подвергли опасности почти пять миллионов пользователей.