包含恶意代码的 Chrome 高分扩展

Oct 12, 2017 Chrome

2018-02-08:这个扩展貌似已经被 Chrome 下架了

最近发现打开好多网站(包括 HTTPS )都会先跳到一个第三方的网站然后再跳回去。因为都是 HTTPS 网站而且不在国内,基本可以排除运营商劫持。排查了一下最近装的 Chrome 扩展,最后确定了是这个 QR Code Generator - 1 click to Create QR Code 造成的:

Chrome 商店链接: https://chrome.google.com/webstore/detail/%D0%B3%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%82%D0%BE%D1%80-qr-%D0%BA%D0%BE%D0%B4%D0%B0-%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D1%82%D1%8C/cicimfkkbejhggfjaabggafffgdnjgjp

具体的表现是在一些购物、航空公司或者注册域名等有广告联盟的网站(我目前测试过的有 godaddy.com ,lazada.sg ,singaporeair.com ,grammarly.com ,agoda.com 等都会被劫持)。第一次访问或者跳转链接时会先跳到一个统计或者广告联盟的地址,然后再跳回来,然后购物网站的链接里就多了推广的信息。

广告联盟的地址包括 gadzine.com, digidip.net, affiliatefuture.com, href.li, digitach.net 等(还有其他更多)。另外这个插件还有防重现机制,如果短时间一直访问某一个网站,就不会被劫持 2333…

这款扩展目前是 4 星好评,安装数量有六万多。翻了一下 Chrome 商店里这个扩展的评论记录,有其他人也提到这个是 malware。我第一次排查的时候错怪另外一款扩展了,但是已经删了那款插件之后还出现了被劫持,就又排查了剩下的,最终确定这个就是真正的元凶,因为只允许这一个扩展在隐身模式下运行的时候还是出现了恶意跳转

可以自行测试一下,如果也发现有问题可以去 Google Chrome 商店留个差评并举报之