可怕！“鸡贼”的浏览器插件，不少人已中招

最近，小编在国外博客网站上看到一篇文章，介绍一些浏览器插件是如何利用“鸡贼”的手段进行盈利的？我觉得挺有价值，很有可能你身边的朋友就中招了，在这里与大家分享一下。

博客的大概内容是这样的，国外加州健康保险提供商 Blue Shield 的官网被多家安全产品标记为提供恶意内容，随后，该公司运营人员很快就删除了未经授权的代码。

虽然该问题已解决了，但是这是谁干的？经过一番周密的分析，发现这些代码是 Blue Shield 的一个员工电脑上的浏览器扩展程序注入的，而该员工在上个月编辑了网站上的内容。

这件事情就提醒我们，虽然很多浏览器扩展程序看起来很好玩，很厉害。但是别忘了它通常有很大的权限，比如读取/写入你的所有数据等。

最常见的情况就是扩展程序的制造者把他们的用户群卖/租给巨黑心的辣鸡广告公司，甚至在某些情况下直接就把用户扔给网络犯罪分子…

就拿上面那个栗子来说吧，健康保险网站被入侵是因为该公司的一个员工在编辑网站内容的时候，安装了一个曾经人畜无害但现在已被破坏的插件，然后呢，这个扩展程序就背地里悄悄地把恶意代码整到网页里去。

至于这个出问题的扩展程序，可能有的朋友也听说过，它叫 Page Ruler 。

Page Ruler是一款可以测量Chrome浏览器中网页元素大小尺寸的谷歌浏览器插件。页面尺寸测量工具，前端设计师专用。可以测量页面元素、图片和文本的尺寸、位置。

下载量也还挺多的，40多万吧！

但是，这个扩展程序在几年前就已经被原开发者给无情卖掉了，虽然最近有很多人举报它传播恶意代码，不过骂归骂，你还是可以继续从 Chrome 商店下载它。

问题来了：一个浏览器扩展程序是怎么把恶意链接添加到健康保险公司的网站上的？

这个被破坏的扩展程序一直都在疯狂检测：使用它的用户是否在使用文章编辑系统（如 WordPress 或 Joomla 等）向网页中输入内容？

如果检测到该用户正在输入内容，那么，该扩展插件就开始在用户输入并保存在页面内容的结尾处植入一个 javascript 链接。当这些被改变的 HTML 内容被保存并发布到网上的时候，隐藏的 javascript 代码会导致访问者的浏览器在特定的条件下显示广告。

毕竟弹广告点广告都来钱的呀~

所以这些广告背后肯定是有人在敛财的，到底是谁发财了还不大清楚，不过发现在有人访问 Blue Shield 时，恶意链接都是从一个名为 linkojager.org 的域名下载d的 javascript 脚本，触发了杀毒软件警报。

它想下载的文件为：212b3d4039ab5319ec.js，貌似是以一个附属标识号命名的，该号码指定了一个特定的应该被记入提供广告的帐户。一个简单的搜索显示，这个相同的 javascript 代码在好几百个网站上都有，不用说，肯定是这些网站的所有者在编辑他们的网站的时侯就碰巧安装了 Page Ruler ，就在啥也不知道的情况下发布了这些代码。

如果我们下载一份该 javascript 文件的副本来看，我们可以在文件的末尾看到这些东西：

[NAME OF EXTENSION HERE] 的开发得到了添加到您访问的某些网站的广告的支持。在这个扩展程序的开发过程中，我已经投入了数千小时来增加功能，修复错误，使事情变得更好，更不用说所有要求帮助的用户的支持了。

广告支持我们所使用和喜爱的互联网；没有它们，我们今天的互联网就根本不存在。同样，如果没有收入，这个扩展程序（和即将到来的新扩展程序）就不可能实现。

你可以现在或者以后在设置页面禁用这些广告。你也可以通过点击部分按钮把广告最小化。这两个选项都可以通过点击每个广告角落的 'x’按钮获得。在这两种情况下，你的选择都是有效的，除非你重新安装或者重置扩展程序。

这应该就是个内容模板。

上面提到的“退出功能”就是说说而已，实际上根本没啥卵用，因为它指向一个不再解析的域：thisadsfor.us 。但是这个域名还是有点儿作用，方便我们更好地了解遇到的问题。

由 DomainTools （本网站的广告商]）维护的注册记录显示，它最初是由使用 frankomedison1020@gmail.com 这个电子邮件地址的某人注册的。对这个不寻常的名称进行反向WHOIS 搜索，就会发现其他几个域名，包括 icontent.us 。

icontentu.s 目前也没办法解析，但 archive.org 上的缓存版本显示它曾经是属于一个名叫 Metrext 的广告平台，它把自己定位成一个分析平台，让扩展程序制造商实时跟踪用户。

曾经在 icontent.us 上提供的内容存档副本承诺具有 “plag’n’play” 功能

iContent 公司：“只需要在你的产品中加三行代码，它就上线了……每个用户的收入都很高。”

另一个和 Frank Medison 有关的域名是 cdnpps.us ，目前,它重定向到域名  “monetizus.com” 。

Monetizus 的网站也跟他的竞争对手一样到处都是语法和拼写错误。救命，这个公司竟然在自己网站的顶部上写：“Use Monetizus Solutions to bring an extra value to your toolbars, addons and extensions, without loosing an audience”。

这个……突然就被哽住了呢，不知道的还以为懂王上线了……

一定不要 “loose” 的赚钱活动

在 KrebsOnSecurity 的联系下，证实了 Page Ruler 的原始开发者 Peter Newnham 在2017年把他的扩展程序卖给了 monetizus 。Newnham 没有透露他卖了多少钱。

Peter Newnham ：“他们当时也没说他们要用它干嘛，但我觉得他们肯定会用它来赚钱，可能是用他们网站提到的脚本……我本来可以自己运行广告代码赚更多钱的，但又觉得很麻烦，而且谷歌当时有点儿打压这种行为，所以直接卖成钱就很奈斯……我都3年没更新扩展程序了，而且因为工作和家庭的缘故我以后也不可能再对它做什么了”。

开发者把作品卖给营销公司，不仅有面子而且还有很多钱啊！所以，少有人都心动了？

比如一个叫 AddonJet 的竞争性扩展货币化平台声称，它可以为美国的每10万名用户提供每天高达2500美元的收入（见下面的截图）。

温馨提醒

我希望大家在安装扩展程序的时候谨慎一点，尤其安装对用户是有求必应的那些扩展程序。就我个人而言，我不咋使用浏览器插件，主要是我真的被那些权限给整怕了！

扩展一时爽，扩展完了一直都不爽！

如果你是那种沉迷用扩展程序的人，那你更应该注意了，安装一个扩展程序很有可能会带来高风险，所以，你懂的！

还有就是如果一个扩展程序它突然要求比以前的版本有更多的权限，那就不要同意更新。因为它已经不是原来的配方了，这不就是摆明了它要开始坑你了吗？就算你爱惨了这款扩展程序，那你也最好把它删掉。

另外，千万不要因为某些网站说你需要它来查看某种类型的内容，就下载和安装别的扩展程序，这也是高风险，它想坑你的。此处应有 KrebsOnSecurity 的网上安全三原则中的第一条：“如果你没有去找它，就不要安装它”。如果你确实想安装something，就确保你是直接从软件生产方那里获取的，最好有已开源。