开发者亲述:个人Chrome插件被黑之后,我的应急过程全记录
最近,国人开发的知名插件“Infinity New Tab”因为开发者账号被盗,导致插件被劫持加入了弹窗广告,reddit、知乎上均有用户反馈。插件开发者发现后紧急处理解决了问题。他们分析了黑客添加的代码,比较庆幸这次只有弹窗广告,没有窃取信息或推送病毒。以下为“Infinity New Tab”开发者gh guang放出的事件处理经过,其中有许多可供参考的关键点信息,嘶吼加粗显示。
首先跟infinitynewtab的用户说声对不起,由于我们太愚蠢,导致账户被盗,给大家的使用带来不便了。黑客主要在代码中加入了弹窗广告,除此之外没有任何的影响,没有盗号,没有病毒。
好了,下面我们来说说这次事件的经过:
5月29号已经更新到6.0的版本,可以放心使用,如果版本低于6.0,赶紧更新到6.0的版本。
下面就来说说这次事件的经过。
5月26号(星期五晚上)
gmail 邮箱突然收到一封邮件,大概看了一下,说是infinitynewtab被chrome 商店删除了,一看到这个邮件心里面就着急了啊。看到邮件中有个链接,说是查看被删的原因,就是违反了Google隐私政策的原因。当时太着急了,太着急了,太着急了,导致于做出了如此愚蠢的行为,一路点过去,输入账号跟密码。结果。。。账户就被盗了。但是,当天晚上并没有发现不对,而是心里在想,为啥被Google 商店移除了。违法了那条政策。去看Google商店也没被删除,心里当时想着,难道有延迟吗,就想着第二天好好研究下Google隐私政策。遂睡。邮件截图:
5月27号早上9点(星期六)
大早上,一起来,登陆开发者账号,进入后台页面,一看版本号怎么变成3.12.22了,本来3点几是作为目前正在开发的新版的版本号,突然感觉不对劲,再回到邮件仔细怎么是chromewebstore.pro这个域名 ,再把这次3.12.22的版本下载下来看,里面怎么多了一个alert10.js的文件,卧槽,这下可惨了。确定账户被盗无疑了。于是赶紧把密码改了。然后在进去后台,发现黑客又在发布3.12.5的版本,赶紧点了取消发布。这已取消发布,就显示正在等待Google审核。如图:
取消发布后,发现肯定是黑客发现了infinitynewtab@gmail.com 这个邮件和开发者账户绑定到一起,于是把后台的邮件改成infinity@infinitynewtab.com了,防止别人再来给我们发钓鱼邮件,当然经过这次事件后,以后开发这账户要单独用一个,保证安全。
回过头来,再看看这个alert10.js文件。
分析一下这个alert10.js,生成了一个年月的md5值,而且每隔一个小时就会弹窗一次,弹窗的内容就是如图:
点击确定就会跳到md5生成的这个链接,再去查这个链接
发现这个域名是从namecheap购买的。于是乎赶紧联系namecheap的客服,说明情况后,namecheap把这个域名给封了。
5月27号11点
赶紧联系Google的人,找邮件,发邮件。
邮件发出去了,却没有任何音讯。今天tmd 周六,Google不上班。
于是乎,给用户发通知,和找Google的联系方式。
临时做了一个简陋的告知信息页面 (关于黑客入侵),让用户卸载3.12.22的版本,从官网下载2.xx的离线版本。(可能有很多用户没收到通知,再给大家道歉)
另一方面,找Google的工作人员,最后在知乎上找到了Google的工作人员,愿意帮我们发内部邮件。自己写了一封英文邮件,他帮忙转发。
在此感谢知乎这个平台。感谢帮助的人。然后进入等待中。。。。。
5月29号下午(星期一)
不断刷新后台看Google的审核状态。Google审核通过了,是把之前黑客发布的3.12.25的版本通过了,赶紧把准备的正常版本6.0,发布上去,用6.0的版本替换3.12.25的版本,这里再说明下,很多用户可能又从2.xx的版本或者3.12.22的版本升级到了3.12.25的版本,导致很多用户产生了误解,说升级后还有弹窗,因为3.12.25的版本也是黑客发布的。如果你还是3.12.22或者3.12.25的版本,请及时更新到6.0的版本。
到此事件告一段落,再次给大家说声抱歉了,由于我们的大意,给大家的使用带来不便了。
另外,大家以后上网也要保护好自己账户的安全,现在钓鱼邮件太多,陌生人发的邮件链接,千万不要随便点,陌生人发的邮件链接,千万不要随便点,陌生人发的邮件链接,千万不要随便点。
最后再次感谢大家对infinitynewtab的支持。