Populära Chrome-tillägg bryter kryptovalutor med din dator

Populära tillägg till Google Chrome bryter kryptovalutor med hjälp av din dator — Google är långsamma med att stoppa cryptojacking.

Det blir allt vanligare att webbsajter kör skript som nyttjar datorns processor eller grafikkort för att bryta värdefulla kryptovalutor. Och kanske inte helt oväntat har man nu funnit att tillägg till webbläsare börjat göra samma sak.

Nu senast är det populära tillägget Archive Poster med fler än 105 000 användare som uppmärksammats. Tillägget används normalt för att öka funktionaliteten för Tumblr-användare, men på senare tid även för att bryta kryptovalutan Monero.

Använder ett skript från ökända Coinhive

När tillägget installerades eller uppdaterades till den då senaste versionen kördes ett skript från ökända Coinhive som började nyttja datorns processor till max.

Ett skript som doldes i en anonym javascript-fil som laddades från ”https://c7e935.netlify[.]com/b.js”.

Det är samma skript som exempelvis proxysajter till The Pirate Bay rapporterats använda. Och om man låter det köra under en längre tid finns risken att datorn tar skada om inte processorkylaren är tillräckligt effektiv — det genereras nämligen extrem värme när processorn körs i 100 procent.

Archive Poster bad inte om tillåtelse från användarna innan skriptet kördes och slutade inte förrän hela webbläsaren stängdes ner eller tillägget avinstallerades.

Och om man ser bakåt i tiden har Archive Poster använt Coinhive-skriptet sen början på december.

En skrämmande sak är att Google initialt tillät Archive Poster att finnas kvar på Chrome Web Store, trots att företaget visste att tillägget bröt kryptovalutor på ett minst sagt suspekt vis.

bleepingcomputer-phising-mejl-chrome-devs
Bildkälla: Bleepingcomputer.com

Välriktade nätfiskeattacker mot utvecklare under 2017

Om användarna hade några funderingar kring hur tillägget fungerade ville supportpersonalen på Google att utvecklaren kontaktades, snarare än att Google skulle göra något åt användandet av Coinhive-skriptet. Knappast förtroendegivande för de som använder Chrome-tillägg.

Frågan är om Archive Poster hackades eller om utvecklaren försöker dryga ut sin egen kassa.

Vi vet att ett stort antal utvecklare av tillägg till Chrome utsatts för riktade nätfiskeattacker ända sen mitten på juni 2017. Attacker designade för att stjäla information som ger hackare möjligheten att uppdatera Chrome-tillägg med egen kod.

Koden har i vissa fall använts för att visa annonser på webbsajter som användarna besökt, och nu även börjat bryta kryptovalutor. Förutom Archive Poster (förutsatt att tillägget faktiskt hackades) så vet vi att populära tilläggen Copyfish och Web Developer attackerats på samma vis.

Attackerna mot utvecklarna är mycket välgjorda och hackarna byter domännamn i sina mejl lika snabbt som Google blockerar dem.

Det är en oroväckande trend som uppstått och det ska bli intressant att se hur den utvecklar sig under 2018.