Серия вредоносных дополнений в Chrome Web Store и модулей в RubyGems

17 декабря 2020 года

В каталогах Chrome Web Store и Microsoft Edge Add-ons выявлено 28 дополнений с вредоносным кодом, суммарно насчитывающих более трёх миллионов установок. Большинство дополнений реализуют функциональность для загрузки изображений, видео и прочего контента из популярных социальных сетей и сервисов, таких как Facebook, VK, Odnoklassniki, Instagram, Vimeo и Spotify. Помимо штатных возможностей дополнения включают также вредоносный код, который осуществляет отправку на внешние серверы персональных данных и перенаправление на фишинговые сайты и рекламные страницы.

В частности, дополнения отправляют на внешний хост информацию о каждом переходе пользователя на новый сайт. В ответ дополнению может быть возвращена команда для перенаправления пользователя на другой сайт вместо исходной ссылки. Помимо этого дополнения перехватывают и отправляют на внешний сервер такие данные, как email-адреса, даты рождения, IP-адреса, информацию о конфигурации оборудования и операционной системы.

Отмечается, что проблемные дополнения были выявлены в ноябре, но вредоносная активность в некоторых из них прослеживается с декабря 2018 года, когда были замечены первые жалобы некоторых пользователей на открытие других сайтов при клике по ссылкам. Пока не ясно распространялся ли вредоносный код изначально или был добавлен в одном из обновлений после накопления большой пользовательской базы. Также не исключается то, что вредоносный код был добавлен новым владельцем после продажи дополнений автором.

Проблемные дополнения в Chrome Web Store:

• Universal Video Downloader(недоступная ссылка)
• Video Downloader for FaceBook (Архивная копия от 29 ноября 2020 на Wayback Machine)
• VK UnBlock. Works fast.(недоступная ссылка)
• Odnoklassniki UnBlock. Works quickly. (Архивная копия от 13 ноября 2020 на Wayback Machine)
• Direct Message for Instagram (Архивная копия от 2 декабря 2020 на Wayback Machine)
• DM for Instagram (Архивная копия от 12 ноября 2020 на Wayback Machine)
• Invisible mode for Instagram Direct Message (Архивная копия от 28 сентября 2020 на Wayback Machine)
• Downloader for Instagram (Архивная копия от 17 декабря 2020 на Wayback Machine)
• App Phone for Instagram(недоступная ссылка)
• Stories for Instagram (Архивная копия от 28 ноября 2020 на Wayback Machine)
• Vimeo Video Downloader (Архивная копия от 14 декабря 2020 на Wayback Machine)
• Zoomer for Instagram and FaceBook(недоступная ссылка)
• Upload photo to Instagram (Архивная копия от 10 декабря 2020 на Wayback Machine)
• Spotify Music Downloader(недоступная ссылка)
• The New York Times News(недоступная ссылка)

Дополнительно можно отметить выявление в каталоге RubyGems двух вредоносных пакетов - 'pretty_color-0.8.1.gem' и 'ruby-bitcoin-0.0.20.gem', которые включали код для кражи криптовалюты. После установки пакетов на системах с ОС Windows запускался процесс для анализа буфера обмена, который определял копирование в буфер обмена адресов Bitcoin, Ethereum и Monero и заменял их на кошелёк атакующего, в расчёте на то, что пользователь не заметит подмены и произведён перевод не на тот адрес. В настоящее время вредоносные дополнения уже удалены из RubyGems.