The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Серия вредоносных дополнений в Chrome Web Store и модулей в RubyGems

17.12.2020 22:41

В каталогах Chrome Web Store и Microsoft Edge Add-ons выявлено 28 дополнений с вредоносным кодом, суммарно насчитывающих более трёх миллионов установок. Большинство дополнений реализуют функциональность для загрузки изображений, видео и прочего контента из популярных социальных сетей и сервисов, таких как Facebook, VK, Odnoklassniki, Instagram, Vimeo и Spotify. Помимо штатных возможностей дополнения включают также вредоносный код, который осуществляет отправку на внешние серверы персональных данных и перенаправление на фишинговые сайты и рекламные страницы.

В частности, дополнения отправляют на внешний хост информацию о каждом переходе пользователя на новый сайт. В ответ дополнению может быть возвращена команда для перенаправления пользователя на другой сайт вместо исходной ссылки. Помимо этого дополнения перехватывают и отправляют на внешний сервер такие данные, как email-адреса, даты рождения, IP-адреса, информацию о конфигурации оборудования и операционной системы.

Отмечается, что проблемные дополнения были выявлены в ноябре, но вредоносная активность в некоторых из них прослеживается с декабря 2018 года, когда были замечены первые жалобы некоторых пользователей на открытие других сайтов при клике по ссылкам. Пока не ясно распространялся ли вредоносный код изначально или был добавлен в одном из обновлений после накопления большой пользовательской базы. Также не исключается то, что вредоносный код был добавлен новым владельцем после продажи дополнений автором.

Проблемные дополнения в Chrome Web Store:

Дополнительно можно отметить выявление в каталоге RubyGems двух вредоносных пакетов - 'pretty_color-0.8.1.gem' и 'ruby-bitcoin-0.0.20.gem', которые включали код для кражи криптовалюты. После установки пакетов на системах с ОС Windows запускался процесс для анализа буфера обмена, который определял копирование в буфер обмена адресов Bitcoin, Ethereum и Monero и заменял их на кошелёк атакующего, в расчёте на то, что пользователь не заметит подмены и произведёт перевод не на тот адрес. В настоящее время вредоносные дополнения уже удалены из RubyGems.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  3. OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
  4. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
  5. OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода
  6. OpenNews: В RubyGems выявлено 724 вредоносных пакета
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54277-malware
Ключевые слова: malware, rubygems, chrome
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:01, 17/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Не может быть! Вроде такого никогда не было!
     
     
  • 2.2, Аноним84701 (ok), 23:14, 17/12/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не может быть! Вроде такого никогда не было!

    И вот -- опять!

    OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
    OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
    OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода

     
     
  • 3.21, Dzen Python (ok), 09:29, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну таки да, денежку зарабатывать надо.
     
  • 3.27, Аноним (27), 11:29, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это тебе не старая ручная проверка кода расширений как было когда-то в Mozilla для Firefox. Хотя если расширение "Рекомендовано", то и сейчас оно проверено вручную. Только гарантий от его продажи это не дает никаких. И права доступа тоже не дают, без них ничего нормальное работать не будет. Все держится чисто на доверии разработчику.
     

  • 1.3, VINRARUS (ok), 23:14, 17/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Это uBlock origin вредоностный для гуля, вот с ним и борятся.
    А эти лиш однодумцы.
     
     
  • 2.17, Аноним (17), 08:20, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В частности, дополнения отправляют на внешний хост информацию о каждом переходе пользователя на новый сайт.

    Кстати да. uBlock origin это делает. И перекупленный The Great Suspender. Почему-то их нет в списке.

     
     
  • 3.22, Аноним (22), 09:32, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня ublock по белым спискам, и он никакой инфы вообще никуда не передаёт.
     

  • 1.4, Аноним (4), 23:38, 17/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    'После установки пакетов на системах с ОС Windows запускался процесс'
    В maven такое невозможно
     
     
  • 2.5, Аноним (4), 23:42, 17/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вредоносный процесс будет запущен при запуске библиотеки, а не во время установки
     

  • 1.6, anon23 (?), 00:22, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какая неожиданность!...
     
  • 1.7, dh_ (?), 00:26, 18/12/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +1 +/
     
     
  • 2.8, Неа (?), 01:08, 18/12/2020 Скрыто модератором
  • +/
     
     
  • 3.9, dh_ (?), 01:13, 18/12/2020 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (2)

  • 1.10, вынь всего и вся (?), 01:42, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мне пару раз предлагали 300$ за мое дополнение 2000+ пользователей.
    Идиоту понятно, для каких целей выкупаются дополнения, которые нельзя монетизировать непосредственно через функционал дополнения.
    Все эти продажи дополнений чистая аморалка. Авторы рать хотели на безопасность пользователей, бабло важнее.
     
     
  • 2.13, СеменСеменыч777 (?), 03:59, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Авторы рать хотели на безопасность пользователей

    есть мнение, что пользователи обязаны заботиться о своей безопасности сами (так же как и в реале). либо нанять профессионала.

     
     
  • 3.28, Аноним (27), 11:33, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так и представляю, каждый не-программист Земли нанимает себе личного программиста или тратит 5+ лет на изучение программирования. Как там кукуха? На месте?
     
     
  • 4.34, вынь всего и вся (?), 13:37, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это совершенно новый вид мышления - "Зачем мне думать о безопасности окружающих при совершении своих действии?".
     
     
  • 5.42, СеменСеменыч777 (?), 15:26, 19/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    если от "окружающих" не прилетит ответка, то думать о них совершенно излишне. они мне никто. в 1ую очередь надо думать о себе.
     
     
  • 6.44, Нате (?), 20:29, 19/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ломаете всю мою жизнь и воспитане, которое состояло в том, что окружающие люди и их потребности выше собственных!
     
     
  • 7.45, СеменСеменыч777 (?), 22:30, 19/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    обычное дело. особенно в советское время. воспитывали именно так для собственного удобства.
    но сейчас эти воспитатели уже умерли, настала пора многое переосмыслить.
     
  • 4.40, СеменСеменыч777 (?), 19:31, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так и я представляю - каждый водитель категории B периодически нанимает себе личного (???) автомеханика ... упс, а это реальнеая практика. кукуха на месте, брат жив-здоров, это безвредно.
     
  • 2.16, Аноним (16), 07:13, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >Мне пару раз предлагали 300$ за мое дополнение 2000+ пользователей.

    Ты его не продал потому что мало предлагали. Предложили бы больше - продал бы. Ценники потому что знать надо.

    Я недавно два по 10к баков продал с 50к уников каждое. 🤗

     
     
  • 3.24, Аноним (24), 09:40, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Месяц назад за два ляма бачей продал свой тетрис, пишу из особняка, тискаю за попку служанку 🤣
     
  • 3.29, Аноним (27), 11:33, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Оу, телепат в треде.
     
  • 3.33, вынь всего и вся (?), 13:29, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Ты его не продал потому что мало предлагали. Предложили бы больше - продал бы.

    Некоторые готовы продать и продаться сами рады, подставляя всех вокруг.
    Это не осуждение, а контантация факта.
    Если осознанно продался ворам, считай что соучастник, ведь ты свой профит получил в виде аванса за будущую монетизацию через обман пользователей. Логично?

     
  • 2.23, Dzen Python (ok), 09:37, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За 1000$ китайцам - 25,2к уников. Понимаю, поступил плохо (хотя что тут плохого, что продал права на свою интеллектуальную собственность. Ну были подозрения, что скаммеры, ну и что? На момент продажи не знал точно, но крайне нужны были деньжата на "чемодан-вокзал-ххх", которые просто так в "ридной" честно не заработать). Но совесть моя чиста - откуда-то капнула простая анонимка с анализом свежей версии в модерацию; дополнение залочено в течении двух дней; узкоглазые пытались в истерику, но были посланы изучать матчасть, чтобы не так палевно вставляли eval'ы на свои CDN, откуда шли фейковыке "обновления датасетов", а на предложение их человечку подскочить кабанчиком и побазарить за кодинг почему-то как-то странно морозились.
     
     
  • 3.25, китайса (?), 11:26, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот с-ка! Кинул наса пасана!
     
  • 3.30, Аноним (27), 11:37, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гениально. Пожалуй попробую схемку, если время будет. Я так понимаю чтобы юзеров набрать нужно писать что-то вроде "youtube/vk video download", но с одной кнопкой.
     
     
  • 4.43, СеменСеменыч777 (?), 15:29, 19/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    vk music download без логина вк - осилите ? реально проблемная тема, а видео скачать оттуда тривиально.
     
  • 3.48, Kuromi (ok), 02:21, 21/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно поэтому в новом манифесте v3 загрузка кода из внешних источников уже прямо запрещена, хотя по сути надо было запрещать сразу.
     

  • 1.11, Аноним (11), 02:38, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое плохое, то что Google никак не привязывает приложения к личности и поэтому они творят что вздумается
     
     
  • 2.15, Аноним (15), 07:03, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > привязывает приложения к личности

    Благими намерениями вымощена дорога в ад

     
     
  • 3.18, Фотошоп лучше (?), 08:23, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да это просто здравый смысл.
     
  • 2.20, Dzen Python (ok), 09:28, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не в этом дело. Можно анально привязать код к личности. И чтобы для смены личности при смене владельца - нужны будут сканы паспорта, личные заявления, отпечатки пальцев.... Ситуацию это в корне не поменяет: у нас ООО может создавать и быть его владельцем только точно так же проверяемый человек с реальным паспортом...который находится по объявлению на остановке среди люмпенов. Называется схема "берем Генку..." или "гендир номинальный" и лет ей настолько больше, что зицпредседатели Фунты даже на момент создания "теленка" были уже чем-то банальным.
     
     
  • 3.38, Аноним (38), 18:20, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    у банков как то получается искать заемщиков или считаете можно разрешить всем что угодно? и вообще это уже мошенничество
     
     
  • 4.39, Dzen Python (ok), 19:04, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не совсем мошенничество. По документам главой конторы может стать кто угодно - нет ни цензов, ни проверок. Так и тут - девом может стать любой. Дать свои личные данные, доступы, логины, телефоны, биометрию. И "помогать" девелоперу может также любой.
     

  • 1.12, Аноним (12), 02:49, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > ...В каталогах Chrome Web Store и Microsoft... для сервисов, таких как Facebook, VK, Odnoklassniki, Instagram... дополнения включают также вредоносный код...

    В гадюшнике с помощью дополнений для других гадюшников, любящие поглащать нечистоты алчные гады жарят друг  друга.

     
  • 1.14, КО (?), 06:14, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "декабря 2018 года, когда были замечены первые жалобы некоторых пользователей"
    Из разряда "Ваше мнение очень важно для нас."
     
     
  • 2.19, Аноним (19), 08:56, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пф, не так давно поддельный аддон Kaspersky Link Checker (как-то так назывался) висел почти год в Chrome Strore, несмотря на многочисленные жалобы. В исходниках дополнения был простейший скрипт, который отправлял связку урл+пароль, если человек логинился с логином "admin". Уот-так-уот.
     

  • 1.26, пох. (?), 11:28, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Странно... я думал в чроместоре гораздо больше дополнений, а тут какие-то смешные 28...

     
  • 1.31, InuYasha (??), 12:26, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Скачиватели видосов вообще тема актуальная. Вроде youtubepp ещё жив. И savefrom net (только там жёсткие редиректы которые надо было блочить). Может, есть что-нибудь получше?
     
  • 1.32, nelson (??), 12:33, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да, какая "неожиданность" - установка неведомой хрени на жабаскрипте несёт потенциальную угрозу.

    >> Помимо штатных возможностей дополнения включают также вредоносный код, который осуществляет отправку на внешние серверы персональных данных и перенаправление на фишинговые сайты и рекламные страницы.

    Вообще ничего удивительного - жабаскрипт для этого и предназначен.

     
     
  • 2.37, Аноним (19), 16:23, 18/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да хоть на божественной сишечке (через WEbAssembly). Или когда тебя имеют бородатые Си хакеры, ты получаешь удовольствие?
     

  • 1.35, Аноним (35), 14:33, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >RubyGems

    оно шевелится!

     
  • 1.36, Аноним (36), 14:35, 18/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно понятно что там мусорка. Даже на NPM тоже мусорка
    Если качать то только с большим количеством скачек
     
     
  • 2.46, gogo (?), 06:17, 20/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы быть не единственным лохом....
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру