插件地址:https://chrome.google.com/webstore/detail/user-agent-switcher-for-g/ffhkkpnppgnfaobgihpdblnhmmbodake
开发这款木马的作者为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里,真的太JB坑了...
background.js 的第 80 行,从这个图片里解密出恶意代码并执行;执行过程如图所示:
这段代码干了什么坏事呢?
https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm
https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah
https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa
https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg
目前在 hackernews 上面已经炸开锅了,相关地址:https://news.ycombinator.com/item?id=14889619 。
给老铁们一些建议与意见:
目前,只是chrome的这款插件被发现了而已,其它的插件和其它的浏览器插件,谁能包装没有后门呢?能自己实现写插件工具的就自己写吧,这不是重复制造轮子....
我们关注编程与安全,快点把它分享给身边的小伙伴吧,免受不必要的损失!!!