当前位置:安全资讯 >> 全文

拥有10万用户的 Chrome 扩展被指推广密币挖矿机

发布时间:2018-1-2 19:52 标签: Chrom扩展,挖矿机,密币
分享到 0

前几周,超过10.5万名用户的一个 Chrome 扩展为用户部署了一个浏览器内密币挖矿机。

Chrome浏览器打开时,这个扩展在劫持用户 CPU 挖掘门罗币之前并不会请求获得用户权限。该扩展名为 Archive Poster,被推广为 Tumblr 的模组,能让用户更容易地“从另外一个博客的文档中转载、排列、写草稿以及点赞博客文章。”

从用户评价来看,从201712月初开始,这个扩展就在源代码中集成了臭名昭著的 Coinhive浏览器挖矿机。

一名美国安全研究员 Troy Mursch 一直都在密切注视加密劫持情况,他指出,Coinhive加密劫持代码隐藏在从以下URL中加载的一个 JavaScript文件中:

https://c7e935.netlify[.]com/b.js

b.js请求 whchsvlxch[.]网站时,调用三个 websocket 会话 (c.wasm) 启动#cryptojacking进程。”Mursch表示这三个会话都包含 Coinhive 配置选项。


Archive Poster 扩展已将隐藏的 Coinhive 加密劫持器装到至少三个版本中:从 4.4.3.9944.4.3.998

用户已举报该扩展并给了差评但仍然无济于事。谷歌看似并不在意这个问题,这个扩展还存在于官方 Chrome Web 应用商店中。一名用户甚至在谷歌 Chrome 求助论坛上举报了 Archive Poster,但谷歌的一名员工回复称,“和扩展的开发人员联系获得进一步的帮助。”

另外一个被劫持的扩展案例?还是有意为之?

今年春天和夏天,Chrome 扩展的开发人员就已经遭受多起钓鱼攻击。攻击者试图接管扩展、添加广告软件代码并在成功后向扩展的用户群推送受感染的更新。其中一些钓鱼攻击获得成功,另外一些拥有大量用户群的高级别扩展被劫持推送广告软件后,扩展遭举报。

由于提供Archive Poster扩展的公司并未在网站上留下联系方式,因此目前尚不能确定这起行为是有意为之还是另外一起遭劫持的扩展案例。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/chrome-extension-with-100-000-users-caught-pushing-cryptocurrency-miner/
参与讨论,请先 登录 | 注册

用户评论