2億か8億

めしの話をしたり生活の話をしたりする

Chrome拡張のAppSpectorがマルウェア疑惑

11/03時点:

blog.clock-up.jp

この記事読んで「野良アプリでこんななることあるのか、こわ…」となった

昨日:

おかしいなと気づいたタイミング

仕事用GoogleアカウントでChromeにログインして開発中によくわからんjsが403/404吐いてるのを発見。
この時点でとりあえず気持ち悪いし s3.eu-central-1.amazonaws.com っていうURLがやばそうなので調査開始。

調査

VM:xxxみたいな表示だったので拡張機能がおかしいのではということで、昨日入れたばかりのVue.jsとかはてブとか消してみたりしたけど変わらず。
他の社員にも確認したけど自分だけだしシークレットモードで実行すると消えるので多分悪いのはシークレットモードで許可されていない拡張機能と目星をつけて確認したところ AppSpector という拡張が悪さしていたのを確認。

実況


AppSpectorとは

前の名前はChromeSniffer。
使っているWebフレームワークとか、Webサーバの種類がアイコンで表示できるという拡張でした。
友人にすすめられて便利そうなので入れました。多分1〜2年前。

現在はBANされたのか削除されたのかで404になっています。
キャッシュがまだあるのでスクショ
f:id:uhar:20161112144313p:plain

Githubリポジトリ
github.com
ただ、こちらのコードの最新版の更新は2016/4/16が最後で、Chrome拡張ストアのキャッシュ最終更新日が10/12です。
作者のTwitterもあんまり更新されていませんが、ブログは10/28に最終更新されてるので作者はふつうに開発者続けてるぽいですね。
一応作者にメールしたほうがいいのかな。

削除した

これはHTTP Headersと同じでマルウェアだな!ということで削除したら以下のURLにリダイレクトされました。
(表示崩れるので改行いれてます)

https://best.aliexpress.com/
?aff_platform=promotion
&sk=NN7qVNJIa%3A
&cpt=1478842439834
&aff_trace_key=a58f49b4e88f428daf082fe1a33a4036-1478842439834-09376-NN7qVNJIa

AliExpressとはなんだということで以下のブログに行き当たる。
pcycle.tk
Alibabaのパートナーサイトなんすね。
先のURLのパラメータからユーザを特定できたりすんのかね。AliExpressのRulesを読んでみます。

削除されてアフィリンク踏ませるのすごい、すごい腹立つ なんなの

被害は

今のところ特に何がどうというかんじではないです。


一応前サービス2FAかけてるけど、怖いのでパスワードを変えておきます。

ChromeのDNSキャッシュにあるかは確認しておいたほうがよいのかも。

根本対策

野良拡張、途中でマルウェアになることがあるっていうのがどうしようもなく、そういうのを入れないというかんじなんですかね…。
というかこんなんエラー出てたから気づいたけどそうじゃなかったら今もすっぱ抜かれたままだったわけでしょう
ウーン。気をつけてるつもり、自分がまさか、とはいうけど本当にそうですね。クソー腹立つ