盗賊の極意

Feed Rss

用了好几年的chrome扩展竟然有后门?!

11.15.2017, 未分类, by , 23 views.

malware

今天上班,刚打开fiddler就在自己的http log里发现了一条发自chrome扩展程序的可疑request。

打开这个扩展的chrome web store页面发现已经被下架。
网上搜了一圈发现有人有同样疑问,虽然没有完全解开谜团,但基本可以确定是可疑程序了。
打开扩展的js代码看了一下,全部重度混淆,果然是做贼心虚。
最可气的是他的代码中竟然包含 function(data){eval(data);} 这样的执行任意代码的后门,我操!

插件名: "Classic Scrollbar Buttons"
这是一个让chrome重新使用老式右侧滚动条外貌的常驻扩展。我已经用了很多年,竟然直到今天才发现带后门,真是……无语。
暂时先把它发出的request信息原样保存好,插件暂时禁用,等我有空了再回来收拾你。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>