Chrome 插件 User-Agent Switcher 原来是个隐藏木马

插件地址：https://chrome.google.com/webstore/detail/user-agent-switcher-for-g/ffhkkpnppgnfaobgihpdblnhmmbodake

在chrome 商店搜索 User-Agent Switcher,排第一的这个插件(45 万用户)，竟然是一款隐藏木马，真是...

开发这款木马的作者为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里，真的太JB坑了...

background.js 的第 80 行,从这个图片里解密出恶意代码并执行；执行过程如图所示：

这段代码干了什么坏事呢？

1. 它会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data。
   
2. 还会从 http://api.data-monitor.info/api/bhrule?sub=116 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码。
   

根据 threatbook 上的信息( https://x.threatbook.cn/domain/api.data-monitor.info ),我估计下面的几个插件都是这个作者的作品。

• https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm
  

• https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah
  

• https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa
  

• https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg
  

目前在 hackernews 上面已经炸开锅了，相关地址：https://news.ycombinator.com/item?id=14889619 。

给老铁们一些建议与意见：

目前，只是chrome的这款插件被发现了而已，其它的插件和其它的浏览器插件，谁能包装没有后门呢？能自己实现写插件工具的就自己写吧，这不是重复制造轮子....

我们关注编程与安全，快点把它分享给身边的小伙伴吧，免受不必要的损失！！！