Серия вредоносных дополнений в Chrome Web Store и модулей в RubyGems

17 декабря 2020 года

В каталогах Chrome Web Store и Microsoft Edge Add-ons выявлено 28 дополнений с вредоносным кодом, суммарно насчитывающих более трёх миллионов установок. Большинство дополнений реализуют функциональность для загрузки изображений, видео и прочего контента из популярных социальных сетей и сервисов, таких как Facebook, VK, Odnoklassniki, Instagram, Vimeo и Spotify. Помимо штатных возможностей дополнения включают также вредоносный код, который осуществляет отправку на внешние серверы персональных данных и перенаправление на фишинговые сайты и рекламные страницы.

В частности, дополнения отправляют на внешний хост информацию о каждом переходе пользователя на новый сайт. В ответ дополнению может быть возвращена команда для перенаправления пользователя на другой сайт вместо исходной ссылки. Помимо этого дополнения перехватывают и отправляют на внешний сервер такие данные, как email-адреса, даты рождения, IP-адреса, информацию о конфигурации оборудования и операционной системы.

Отмечается, что проблемные дополнения были выявлены в ноябре, но вредоносная активность в некоторых из них прослеживается с декабря 2018 года, когда были замечены первые жалобы некоторых пользователей на открытие других сайтов при клике по ссылкам. Пока не ясно распространялся ли вредоносный код изначально или был добавлен в одном из обновлений после накопления большой пользовательской базы. Также не исключается то, что вредоносный код был добавлен новым владельцем после продажи дополнений автором.

Проблемные дополнения в Chrome Web Store:

Дополнительно можно отметить выявление в каталоге RubyGems двух вредоносных пакетов - 'pretty_color-0.8.1.gem' и 'ruby-bitcoin-0.0.20.gem', которые включали код для кражи криптовалюты. После установки пакетов на системах с ОС Windows запускался процесс для анализа буфера обмена, который определял копирование в буфер обмена адресов Bitcoin, Ethereum и Monero и заменял их на кошелёк атакующего, в расчёте на то, что пользователь не заметит подмены и произведён перевод не на тот адрес. В настоящее время вредоносные дополнения уже удалены из RubyGems.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Серия вредоносных дополнений в Chrome Web Store и модулей в RubyGems», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.