Независимый ИБ-эксперт Трой Марш (Troy Mursch) связался с журналистами издания Bleeping Computer и предупредил о проблеме в популярном расширении Archive Poster для Chrome.

Archive Poster насчитывает более 100 000 установок и представляет собой мод для Tumblr, предоставляющий пользователям удобные инструменты для работы с сервисом. Но, как обнаружил Марш, несколько недель назад у расширения появилась еще одна недокументированная функция.

Согласно жалобам пользователей, еще в начале декабря в составе Archive Poster неожиданно появился майнинговый скрипт Coinhive. Марш подтвердил опасения пострадавших и сообщил, что майнер кроется в файле JavaScript, который подгружается с адреса c7e935.netlify[.]com/b.js.

«Файл b.js обращается к ресурсу whchsvlxch[.]site, который инициирует три websocket-сессии (c.wasm), чтобы запустить процесс майнинга», — объясняет специалист.

Скрытый майнер содержат как минимум четыре последние версии Archive Poster, с 4.4.3.994 по 4.4.3.998. При этом поддержка Chrome Web Store не спешила убрать расширение из официального каталога, невзирая на многочисленные жалобы. Пользователи пытались привлечь внимание к проблеме даже через Google Chrome Help Forum, но там им лишь посоветовали связаться с разработчиками расширения. Судя по всему, расширение «пропало» из каталога только вчера, когда о проблеме начали писать СМИ.

Последовать совету сотрудников Google и установить контакт с создателями Archive Poster, пока не удалось никому, включая Троя Марша и журналистов Bleeping Computer. В связи с этим до сих пор неизвестно, был майнер добавлен в код расширения намеренно, или разработчики Archive Poster стали новой жертвой длинной череды фишинговых атак, начавшейся еще минувшим летом. Напомню, что летом 2017 года неизвестные злоумышленники скомпрометировали сразу восемь популярных расширений для Chrome и подвергли опасности почти пять миллионов пользователей.

7 комментариев

  1. john_

    30.12.2017 at 13:41

    С каждым месяцем ситуация будет только усугубляться, а учитывая как реагирует поддержка гугла на это — будет очень плохо

  2. Themistocles

    30.12.2017 at 13:58

    интересно, их старания окупаются? судя по тому, что они видимо не ставят ограничения на нагрузку процессора, то долго такие расширения не живут.

  3. r0uly

    31.12.2017 at 03:08

    Учитывая, что Apple борется с неавторизованным ремонтом, она только-что подала тренд для российских сервисных центров брать дороже, чем берут в авторизованных. Вот так вот они решили и еще одну проблему, негодяи!

  4. ismayil112

    31.12.2017 at 16:55

    За деньги они пожертворвали расширение…. Вот что могут человек

  5. Владиславище

    01.01.2018 at 21:00

    Google тоже празднует НГ. Техподдержка — бухает!!!

  6. BIGBAN93

    03.01.2018 at 11:33

    надо бы им проверку скриптов сделать и показать наглядно кто и куда отправляет а то качаешь расширение внутри майнер,вчера попался на один,комп завис сам по себе,охеренно грузить начало что то в процесе,смотрю ничего,копался всю ночь,искал и нашел.

Оставить мнение