V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaoqidev
V2EX  ›  信息安全

60W 用户 Chrome 插件存在恶意代码

  •  9
     
  •   xiaoqidev · 7 天前 · 7678 次点击

    SuperCopy 超级复制插件是看见 V 友推荐后安装的,偶然发现其会拦截所有返利平台流量和商家自然流量

    起因

    偶尔会使用京东联盟自己邀请下单,最近有一些订单没有拿到返利,发现使用 Chrome 访问京东商品详情页时,已打开的第一个标签页的会自动跳转然后跳回之前的页面

    排查

    对所有安装的插件逐一排查,确定是 SuperCopy 超级复制插件 https://chromewebstore.google.com/detail/supercopy-%E8%B6%85%E7%BA%A7%E5%A4%8D%E5%88%B6/onepmapfbjohnegdmfhndpefjkppbjkm 该插件目前用户 60W+,有精选标签

    复现

    当浏览器已经打开的标签页大于 3 个时,访问京东任意商品详情页,该插件会发起一个请求 https://cdn.shopimgs.com/jclk?itid=itid&uid=uid&name=supercopy-v3 参数 itid 为 base64 后的京东商品详情页链接,该请求返回一个链接,此时浏览器中第一个标签页会跳转到该链接,该链接跳转到京东联盟返利链接,访问完成之后再跳转回该标签页之前打开的链接,下单用户最后一次打开的是谁的返利链接,京东就会返利给谁

    第 1 条附言  ·  6 天前
    不清楚作者是否有修改过,截止目前已无法复现
    66 条回复    2024-11-02 09:32:28 +08:00
    esee
        1
    esee  
       7 天前 via Android
    这么可恶。
    cnkuner
        2
    cnkuner  
       7 天前
    已经移除,谢谢
    shizhibuyu2023
        3
    shizhibuyu2023  
       7 天前   ❤️ 16
    国人开发的,没有盈利机制的通通不要用,简单的需求尽量用油猴脚本解决
    junkk
        4
    junkk  
       7 天前
    真 tm 离谱,还好现在基本用京粉的多
    shannon404
        5
    shannon404  
       7 天前
    已移除+举报,感谢
    XDiLa
        6
    XDiLa  
       7 天前   ❤️ 35
    @shizhibuyu2023 这也能扯上国人了哈哈哈哈哈哈哈。你去搜下 商店下架国外的插件多还是国人开发的插件多。 软骨病真是遍地开花啊
    shintendo
        7
    shintendo  
       7 天前   ❤️ 3
    因吹斯听,昨天刚看到个帖子说 ESET 突然对 SuperCopy 报毒
    shizhibuyu2023
        8
    shizhibuyu2023  
       7 天前   ❤️ 8
    @XDiLa #6 哟,急了。难道你也是返利狗?
    Shanky
        9
    Shanky  
       7 天前
    刑啊....
    96
        10
    96  
       7 天前
    “该开发者已披露,此产品不会收集或使用您的数据。 如需了解详情,请查看该开发者的隐私权政策。”
    com781517552
        11
    com781517552  
       7 天前
    就是这个插件 控制台一直有这个 我找到给他卸了 真恶心
    gzlock
        12
    gzlock  
       7 天前
    所以浏览器扩展一定要尽量选择开源项目
    xiaoqidev
        13
    xiaoqidev  
    OP
       7 天前
    @shizhibuyu2023 #3 绝大部分插件都是好用的,这种只是个别
    molvqingtai
        14
    molvqingtai  
       7 天前
    除了几个大公司的,其他都安装的开源插件
    shizhibuyu2023
        15
    shizhibuyu2023  
       7 天前
    @xiaoqidev #12 不用为好,插件用的人一旦多起来,你不知道哪天插件就被开发者卖掉了,然后加点料强制更新给你,以前见过这种例子。
    这强制更新的机制,开源都用着不放心
    junan
        16
    junan  
       7 天前
    op 的观察,调研能力佩服的
    woniu7
        17
    woniu7  
       7 天前
    @molvqingtai 呦西,安装过你的插件
    XDiLa
        18
    XDiLa  
       7 天前   ❤️ 19
    @shizhibuyu2023 #8 我是不是返利狗 难说,但你一定是软骨狗哈哈哈哈哈哈哈哈
    worker201
        19
    worker201  
       7 天前
    @shizhibuyu2023 脑子进屎了
    shizhibuyu2023
        20
    shizhibuyu2023  
       7 天前
    @worker201 #17 说你自己呐?
    shizhibuyu2023
        21
    shizhibuyu2023  
       7 天前
    @XDiLa #18 哈哈🐶
    miaomiao888
        22
    miaomiao888  
       7 天前
    谷歌的审核和没有一样
    geekvcn
        23
    geekvcn  
       7 天前   ❤️ 4
    这算什么 EDGE 国内还劫持百度到推广链接呢,微软这么大的公司都干这事
    bingochou
        24
    bingochou  
       7 天前
    难怪最近自用的 gitea 会出现这个,以前都是正常的。关了这个插件也正常了
    ![]( https://mjj.today/i/jwIsUO)
    codingadog
        25
    codingadog  
       7 天前
    @shizhibuyu2023 supersu:?
    lance07
        26
    lance07  
       7 天前
    @shizhibuyu2023 你应该去建议 linus 赶紧把中国人全部踢掉
    fuchaofather
        27
    fuchaofather  
       7 天前
    @shizhibuyu2023 #3 你是哪国的?
    sincoslong
        28
    sincoslong  
       7 天前
    嗯。插件一般审核吗?
    shizhibuyu2023
        29
    shizhibuyu2023  
       7 天前   ❤️ 1
    @fuchaofather #24 跟哪国没有关系,你是哪国的就该警惕哪国的开发者,这时候跳出来对号入座的人懂的都懂
    XDiLa
        30
    XDiLa  
       7 天前
    @fuchaofather 不用理这种小丑。就让他一个人乐就行了
    linghan
        31
    linghan  
       7 天前 via Android
    啊 这些个搞这些门门道道啊
    mikaelson
        32
    mikaelson  
       7 天前
    一直想问 这种返利怎么做的。
    einskai
        33
    einskai  
       7 天前   ❤️ 2
    那些功能感觉用油猴几句就能实现呀,没必要安装这个插件。
    Mandelo
        34
    Mandelo  
       7 天前
    @mikaelson 购买链接加了邀请人信息吧
    nekomiao
        35
    nekomiao  
       7 天前
    @sincoslong #28 没有审核的
    stcode
        36
    stcode  
       7 天前
    我的安装版本没这个问题,因为一直禁用了扩展自动更新,是旧版本,双 11 了作者再也忍不住诱惑了
    ivstranger
        37
    ivstranger  
       7 天前
    太多了,之前不知道装了哪个插件导致密码全部泄露,好多论坛/网站都登不上..包括 V 站
    luziafy
        38
    luziafy  
       7 天前
    @shizhibuyu2023 油猴也一堆吃返利的 好在可以直接把网址编辑掉
    mztwfed
        39
    mztwfed  
       6 天前
    再曝光一个同样行为的扩展,每天第一次打开购物网站会自动跳转一次返利链接,避雷: https://chromewebstore.google.com/detail/dark-mode-for-your-browse/popkohipheagkijpjmllkbnifaokliim
    huayune
        40
    huayune  
       6 天前
    @com781517552 +1 同中招,真恶心啊
    Rehtt
        41
    Rehtt  
       6 天前 via Android
    @luziafy 至少油猴上的代码时公开的而且可以访问哪些网址
    sen5463
        42
    sen5463  
       6 天前
    @shizhibuyu2023 Base64 :5bC8546b6K6p6L2m5pKe5q275LqG
    shizhibuyu2023
        43
    shizhibuyu2023  
       6 天前   ❤️ 1
    @sen5463 #38 反弹一切诅咒就完事了。哎,没见过这么诅咒自己🐴的,你🐴知道有你这个不孝子吗?

    @Livid @Kai @Olivia @GordianZ @sparanoid @drymonfidelia 请求封禁此人
    Livid
        44
    Livid  
    MOD
       6 天前   ❤️ 1
    @shizhibuyu2023 那个账号已经被彻底 ban 。
    tttta
        45
    tttta  
       6 天前
    请问这个现象是每次都会复现出来还是偶发的呀 我这边在我的电脑上怎么没有复现出来呀 楼主知道发送请求的代码的具体位置吗 万分感谢
    xiaoqidev
        46
    xiaoqidev  
    OP
       6 天前
    @bigcirclemons #45 不清楚插件开发者是否有修改过,我这边目前也无法复现了
    tttta
        47
    tttta  
       6 天前
    方便透露下您能成功复现时的插件版本吗 我这边是 0.1.15
    xiaoqidev
        48
    xiaoqidev  
    OP
       6 天前
    @bigcirclemons #47 我卸载过,最新安装的是这个版本,看更新日期,之前应该也是这个版本
    wow0o
        49
    wow0o  
       6 天前
    @shizhibuyu2023 软骨病. 过于逆天
    shizhibuyu2023
        50
    shizhibuyu2023  
       6 天前   ❤️ 2
    @wow0o #45
    参考 #26 「跟哪国没有关系,你是哪国的就该警惕哪国的开发者,这时候跳出来对号入座的人懂的都懂」

    我不知道你们这些不讲逻辑的喷子,到底哪里能看出来软骨,你来论证一下看看?

    浏览器插件存在安全隐患,不管是国人还是外国人开发的都有一大堆恶意插件。但是国人开发的恶意插件更容易触及到国人,这是事实,外国人还能偷你淘宝、京东返利不成?

    你要是觉得这样的提醒是崇洋媚外,是软骨,那就继续做个不讲逻辑的巨婴吧
    tttta
        51
    tttta  
       6 天前
    @xiaoqidev 您好,我是相关电商公司的员工,请问您是否方便加下联系方式? 我们想深入调查一下这个事情
    xiaoqidev
        52
    xiaoqidev  
    OP
       6 天前
    @tttta #51 可以留联系方式,我加你
    tttta
        53
    tttta  
       6 天前
    cXEgMjg2NTE1NDkx
    tttta
        54
    tttta  
       6 天前
    @xiaoqidev 直接发貌似发不出去 cXEgMjg2NTE1NDkx
    xiaoqidev
        55
    xiaoqidev  
    OP
       6 天前
    @tttta #53 需要回答问题才能加
    tttta
        56
    tttta  
       6 天前
    @xiaoqidev 稍等我设置一下
    tttta
        57
    tttta  
       6 天前
    @xiaoqidev 可以了
    xifangczy
        58
    xifangczy  
       6 天前
    做扩展 真的是看良心。一旦做到几十万用户量 会收到各种邮件。
    昨天还收到一封 每个月活跃用户 0.2 刀 这种讨骂的事情 我是不会干的。
    xiaoqidev
        59
    xiaoqidev  
    OP
       5 天前
    @xifangczy #58 是不是,但其实能做到几十万会有很多盈利方式,公开或加上开关让用户选择都不会有什么问题,文中描述的这种不一样可能已经涉及到犯罪了
    xiaoqidev
        60
    xiaoqidev  
    OP
       5 天前
    @xiaoqidev #59 “犯罪”可能不准确,涉及侵权或违法
    tttta
        61
    tttta  
       5 天前
    @mztwfed 您好,我是相关电商公司的员工,请问您是否方便加下联系方式? 我们想深入调查一下这个事情
    molvqingtai
        62
    molvqingtai  
       5 天前
    @woniu7 如果原来通过文件方式安装的,现在可以到 chrome 商店下载了,加了一些新功能
    wow0o
        63
    wow0o  
       4 天前
    @shizhibuyu2023 OP 很好的技术帖子, 被你带歪了.
    带节奏, 扣帽子. 个例上升到国人群体.
    楼里一半是你在喷人. 如果有人需要反思, 那肯定是你.
    tong233
        64
    tong233  
       4 天前
    这个插件还重写 console.log ,导致所有控制台打印都失效,开发慎用!
    php01
        65
    php01  
       3 天前
    6 楼纯粹没有任何逻辑可言,但是还有这么多人点赞。
    因为国外插件多,所以国外做这种事的骗子,小偷多?最后再给别人戴上一个帽子。
    这种我见过很多,他们都有一种不可说的特性或者说特质。
    WilliamColton
        66
    WilliamColton  
       3 天前 via Android
    @shizhibuyu2023 这话倒是说的不假,国内开发者开发的插件确实可能有针对性一点
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5525 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 08:37 · PVG 16:37 · LAX 00:37 · JFK 03:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.