V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaoqidev
V2EX  ›  信息安全

60W 用户 Chrome 插件存在恶意代码

  •  9
     
  •   xiaoqidev · 54 天前 · 8782 次点击
    这是一个创建于 54 天前的主题,其中的信息可能已经有所发展或是发生改变。

    SuperCopy 超级复制插件是看见 V 友推荐后安装的,偶然发现其会拦截所有返利平台流量和商家自然流量

    起因

    偶尔会使用京东联盟自己邀请下单,最近有一些订单没有拿到返利,发现使用 Chrome 访问京东商品详情页时,已打开的第一个标签页的会自动跳转然后跳回之前的页面

    排查

    对所有安装的插件逐一排查,确定是 SuperCopy 超级复制插件 https://chromewebstore.google.com/detail/supercopy-%E8%B6%85%E7%BA%A7%E5%A4%8D%E5%88%B6/onepmapfbjohnegdmfhndpefjkppbjkm 该插件目前用户 60W+,有精选标签

    复现

    当浏览器已经打开的标签页大于 3 个时,访问京东任意商品详情页,该插件会发起一个请求 https://cdn.shopimgs.com/jclk?itid=itid&uid=uid&name=supercopy-v3 参数 itid 为 base64 后的京东商品详情页链接,该请求返回一个链接,此时浏览器中第一个标签页会跳转到该链接,该链接跳转到京东联盟返利链接,访问完成之后再跳转回该标签页之前打开的链接,下单用户最后一次打开的是谁的返利链接,京东就会返利给谁

    第 1 条附言  ·  52 天前
    不清楚作者是否有修改过,截止目前已无法复现
    68 条回复    2024-11-21 13:39:32 +08:00
    esee
        1
    esee  
       54 天前 via Android
    这么可恶。
    cnkuner
        2
    cnkuner  
       54 天前
    已经移除,谢谢
    Xu3Xan89YsA7oP64
        3
    Xu3Xan89YsA7oP64  
       54 天前   ❤️ 16
    国人开发的,没有盈利机制的通通不要用,简单的需求尽量用油猴脚本解决
    junkk
        4
    junkk  
       54 天前
    真 tm 离谱,还好现在基本用京粉的多
    shannon404
        5
    shannon404  
       54 天前
    已移除+举报,感谢
    XDiLa
        6
    XDiLa  
       54 天前   ❤️ 35
    @shizhibuyu2023 这也能扯上国人了哈哈哈哈哈哈哈。你去搜下 商店下架国外的插件多还是国人开发的插件多。 软骨病真是遍地开花啊
    shintendo
        7
    shintendo  
       54 天前   ❤️ 3
    因吹斯听,昨天刚看到个帖子说 ESET 突然对 SuperCopy 报毒
    Xu3Xan89YsA7oP64
        8
    Xu3Xan89YsA7oP64  
       54 天前   ❤️ 9
    @XDiLa #6 哟,急了。难道你也是返利狗?
    Shanky
        9
    Shanky  
       54 天前
    刑啊....
    96
        10
    96  
       54 天前
    “该开发者已披露,此产品不会收集或使用您的数据。 如需了解详情,请查看该开发者的隐私权政策。”
    com781517552
        11
    com781517552  
       54 天前
    就是这个插件 控制台一直有这个 我找到给他卸了 真恶心
    gzlock
        12
    gzlock  
       54 天前
    所以浏览器扩展一定要尽量选择开源项目
    xiaoqidev
        13
    xiaoqidev  
    OP
       54 天前
    @shizhibuyu2023 #3 绝大部分插件都是好用的,这种只是个别
    molvqingtai
        14
    molvqingtai  
       54 天前
    除了几个大公司的,其他都安装的开源插件
    Xu3Xan89YsA7oP64
        15
    Xu3Xan89YsA7oP64  
       54 天前
    @xiaoqidev #12 不用为好,插件用的人一旦多起来,你不知道哪天插件就被开发者卖掉了,然后加点料强制更新给你,以前见过这种例子。
    这强制更新的机制,开源都用着不放心
    junan
        16
    junan  
       54 天前
    op 的观察,调研能力佩服的
    woniu7
        17
    woniu7  
       54 天前
    @molvqingtai 呦西,安装过你的插件
    XDiLa
        18
    XDiLa  
       54 天前   ❤️ 19
    @shizhibuyu2023 #8 我是不是返利狗 难说,但你一定是软骨狗哈哈哈哈哈哈哈哈
    worker201
        19
    worker201  
       54 天前
    @shizhibuyu2023 脑子进屎了
    Xu3Xan89YsA7oP64
        20
    Xu3Xan89YsA7oP64  
       54 天前
    @worker201 #17 说你自己呐?
    Xu3Xan89YsA7oP64
        21
    Xu3Xan89YsA7oP64  
       54 天前
    @XDiLa #18 哈哈🐶
    miaomiao888
        22
    miaomiao888  
       54 天前
    谷歌的审核和没有一样
    geekvcn
        23
    geekvcn  
       54 天前   ❤️ 4
    这算什么 EDGE 国内还劫持百度到推广链接呢,微软这么大的公司都干这事
    bingochou
        24
    bingochou  
       53 天前
    难怪最近自用的 gitea 会出现这个,以前都是正常的。关了这个插件也正常了
    ![]( https://mjj.today/i/jwIsUO)
    codingadog
        25
    codingadog  
       53 天前
    @shizhibuyu2023 supersu:?
    lance07
        26
    lance07  
       53 天前
    @shizhibuyu2023 你应该去建议 linus 赶紧把中国人全部踢掉
    fuchaofather
        27
    fuchaofather  
       53 天前
    @shizhibuyu2023 #3 你是哪国的?
    sincoslong
        28
    sincoslong  
       53 天前
    嗯。插件一般审核吗?
    Xu3Xan89YsA7oP64
        29
    Xu3Xan89YsA7oP64  
       53 天前   ❤️ 1
    @fuchaofather #24 跟哪国没有关系,你是哪国的就该警惕哪国的开发者,这时候跳出来对号入座的人懂的都懂
    XDiLa
        30
    XDiLa  
       53 天前
    @fuchaofather 不用理这种小丑。就让他一个人乐就行了
    linghan
        31
    linghan  
       53 天前 via Android
    啊 这些个搞这些门门道道啊
    mikaelson
        32
    mikaelson  
       53 天前
    一直想问 这种返利怎么做的。
    einskai
        33
    einskai  
       53 天前   ❤️ 2
    那些功能感觉用油猴几句就能实现呀,没必要安装这个插件。
    Mandelo
        34
    Mandelo  
       53 天前
    @mikaelson 购买链接加了邀请人信息吧
    nekomiao
        35
    nekomiao  
       53 天前
    @sincoslong #28 没有审核的
    stcode
        36
    stcode  
       53 天前
    我的安装版本没这个问题,因为一直禁用了扩展自动更新,是旧版本,双 11 了作者再也忍不住诱惑了
    ivstranger
        37
    ivstranger  
       53 天前
    太多了,之前不知道装了哪个插件导致密码全部泄露,好多论坛/网站都登不上..包括 V 站
    luziafy
        38
    luziafy  
       53 天前
    @shizhibuyu2023 油猴也一堆吃返利的 好在可以直接把网址编辑掉
    mztwfed
        39
    mztwfed  
       53 天前
    再曝光一个同样行为的扩展,每天第一次打开购物网站会自动跳转一次返利链接,避雷: https://chromewebstore.google.com/detail/dark-mode-for-your-browse/popkohipheagkijpjmllkbnifaokliim
    huayune
        40
    huayune  
       53 天前
    @com781517552 +1 同中招,真恶心啊
    Rehtt
        41
    Rehtt  
       53 天前 via Android
    @luziafy 至少油猴上的代码时公开的而且可以访问哪些网址
    sen5463
        42
    sen5463  
       53 天前
    @shizhibuyu2023 Base64 :5bC8546b6K6p6L2m5pKe5q275LqG
    Xu3Xan89YsA7oP64
        43
    Xu3Xan89YsA7oP64  
       53 天前   ❤️ 1
    @sen5463 #38 反弹一切诅咒就完事了。哎,没见过这么诅咒自己🐴的,你🐴知道有你这个不孝子吗?

    @Livid @Kai @Olivia @GordianZ @sparanoid @drymonfidelia 请求封禁此人
    Livid
        44
    Livid  
    MOD
       53 天前   ❤️ 1
    @shizhibuyu2023 那个账号已经被彻底 ban 。
    tttta
        45
    tttta  
       52 天前
    请问这个现象是每次都会复现出来还是偶发的呀 我这边在我的电脑上怎么没有复现出来呀 楼主知道发送请求的代码的具体位置吗 万分感谢
    xiaoqidev
        46
    xiaoqidev  
    OP
       52 天前
    @bigcirclemons #45 不清楚插件开发者是否有修改过,我这边目前也无法复现了
    tttta
        47
    tttta  
       52 天前
    方便透露下您能成功复现时的插件版本吗 我这边是 0.1.15
    xiaoqidev
        48
    xiaoqidev  
    OP
       52 天前
    @bigcirclemons #47 我卸载过,最新安装的是这个版本,看更新日期,之前应该也是这个版本
    wow0o
        49
    wow0o  
       52 天前
    @shizhibuyu2023 软骨病. 过于逆天
    Xu3Xan89YsA7oP64
        50
    Xu3Xan89YsA7oP64  
       52 天前   ❤️ 2
    @wow0o #45
    参考 #26 「跟哪国没有关系,你是哪国的就该警惕哪国的开发者,这时候跳出来对号入座的人懂的都懂」

    我不知道你们这些不讲逻辑的喷子,到底哪里能看出来软骨,你来论证一下看看?

    浏览器插件存在安全隐患,不管是国人还是外国人开发的都有一大堆恶意插件。但是国人开发的恶意插件更容易触及到国人,这是事实,外国人还能偷你淘宝、京东返利不成?

    你要是觉得这样的提醒是崇洋媚外,是软骨,那就继续做个不讲逻辑的巨婴吧
    tttta
        51
    tttta  
       52 天前
    @xiaoqidev 您好,我是相关电商公司的员工,请问您是否方便加下联系方式? 我们想深入调查一下这个事情
    xiaoqidev
        52
    xiaoqidev  
    OP
       52 天前
    @tttta #51 可以留联系方式,我加你
    tttta
        53
    tttta  
       52 天前
    cXEgMjg2NTE1NDkx
    tttta
        54
    tttta  
       52 天前
    @xiaoqidev 直接发貌似发不出去 cXEgMjg2NTE1NDkx
    xiaoqidev
        55
    xiaoqidev  
    OP
       52 天前
    @tttta #53 需要回答问题才能加
    tttta
        56
    tttta  
       52 天前
    @xiaoqidev 稍等我设置一下
    tttta
        57
    tttta  
       52 天前
    @xiaoqidev 可以了
    xifangczy
        58
    xifangczy  
       52 天前
    做扩展 真的是看良心。一旦做到几十万用户量 会收到各种邮件。
    昨天还收到一封 每个月活跃用户 0.2 刀 这种讨骂的事情 我是不会干的。
    xiaoqidev
        59
    xiaoqidev  
    OP
       52 天前
    @xifangczy #58 是不是,但其实能做到几十万会有很多盈利方式,公开或加上开关让用户选择都不会有什么问题,文中描述的这种不一样可能已经涉及到犯罪了
    xiaoqidev
        60
    xiaoqidev  
    OP
       52 天前
    @xiaoqidev #59 “犯罪”可能不准确,涉及侵权或违法
    tttta
        61
    tttta  
       52 天前
    @mztwfed 您好,我是相关电商公司的员工,请问您是否方便加下联系方式? 我们想深入调查一下这个事情
    molvqingtai
        62
    molvqingtai  
       52 天前
    @woniu7 如果原来通过文件方式安装的,现在可以到 chrome 商店下载了,加了一些新功能
    wow0o
        63
    wow0o  
       51 天前   ❤️ 1
    @shizhibuyu2023 OP 很好的技术帖子, 被你带歪了.
    带节奏, 扣帽子. 个例上升到国人群体.
    楼里一半是你在喷人. 如果有人需要反思, 那肯定是你.
    tong233
        64
    tong233  
       51 天前   ❤️ 1
    这个插件还重写 console.log ,导致所有控制台打印都失效,开发慎用!
    php01
        65
    php01  
       50 天前   ❤️ 1
    6 楼纯粹没有任何逻辑可言,但是还有这么多人点赞。
    因为国外插件多,所以国外做这种事的骗子,小偷多?最后再给别人戴上一个帽子。
    这种我见过很多,他们都有一种不可说的特性或者说特质。
    WilliamColton
        66
    WilliamColton  
       50 天前 via Android
    @shizhibuyu2023 这话倒是说的不假,国内开发者开发的插件确实可能有针对性一点
    sep9999
        67
    sep9999  
       45 天前
    @tong233 找了半天问题,想骂娘了,真的要避雷这个插件
    COOLEER
        68
    COOLEER  
       30 天前
    感谢感谢,已经移除了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2478 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 05:04 · PVG 13:04 · LAX 21:04 · JFK 00:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.