Chrome偶尔出现自动打开天猫超市的情况,如何排查是谁搞鬼?[求大佬帮忙排查一个chrome扩展]

问题求助❓
1

image
查看了一下网页打开前我访问的网站,一个是小众(我相信不是小众搞的),一个是pt站(我相信也不是它)。怀疑是什么插件、脚本做的

链接是

https://pages.tmall.com/wow/z/cs/act/wupr?wh_biz=tm&wh_pid=act%2Ftaokechengjie&ali_trackid=2:mm_2353320009_2638300493_112209450071:1654563330_047_444254277&union_lens=lensId:OPT@1654213436@2127f5d2_0bbe_18126cde47a_4801@01;eventPageId:1586925572118;recoveryid:1654563330_047_444254277&bxsign=tbkTDbX0W4+Id+l+3PRgwrucfF6sxjwKA1H2ZbNsmWPWoL0fXH1dOe/dx31aa/V6c93A8Z4UxftBecRibFzikzes9glIWUe0vCtSs36rgoPkaw=

https://pages.tmall.com/wow/z/cs/act/wupr?wh_biz=tm&wh_pid=act%2Ftaokechengjie&ali_trackid=2:mm_2353320009_2638300493_112209450071:1654241461_081_1432175581&union_lens=lensId:OPT@1654213436@2127f5d2_0bbe_18126cde47a_4801@01;eventPageId:1586925572118;recoveryid:1654241461_081_1432175581&bxsign=tbkFIeIEHYhAxENUmNDlDZMYgwvJBZS0d57ec9gs/FP6eWJeCeC9HblQAxLOBMgyIIEaIo+bwPfm0YeCj37HcyOt0QhZiRlq3Cndi5xaVceD9s=
2

从扩展排查咯。

3

问题是随机发生的,一时半会没发生可能是没到自动访问的时间

4

初步怀疑 https://chrome.google.com/webstore/detail/fatkun-batch-download-ima/nnjjahlikiabnchcpehcpkdeckfgnohf 第一发生的时间和它最近一次更新的时间相同,代码也是不开源的

有没有大佬帮忙逆向排查一下?

1 个赞
5

就一个一个插件排查呗

6

先试试把怀疑的插件禁用几天看看还有没有自动打开的情况?

7

我今天第一次遇见,要不是看到这个帖子,我还以为是别的什么原因
我没有安装这个插件,第一反应还以为是购物党的比价插件。
装的插件不少,如果再遇到的话再来回复吧,楼主可以看看有没有重合的。

image
image673×699 79.3 KB

8

我启用的扩展:
image

再加上我之前说的 Fatkun Batch Download Image

@Kira 你的都是图标,有的好像还是美化后的图标,很难对比啊

9

Emm… 事实就是,除了Bitwarden和Tampermonkey,uBlock Origin这3个之外,根本没有重合的。而且我的Tampermonkey还是Beta的。
另外这些图标都是原来的图标啊,我只是装了插件管理的插件这样显示罢了。
还有就是这3个插件感觉可信任度应该都比较高,不如检查一下油猴脚本里面有没有看起来有后门的?比如我装的脚本里面可疑的也不少,哈哈

image
image621×610 28.9 KB

10

油猴脚本我也把最近几个月更新的看了一遍,没有可疑的
4月以来更新的就只有Bilibili Evolved (我觉得它不会)、另2个脚本比较简短,我自己阅读源码没有问题,要不就是我自己写的脚本……

所以也有可能我们的出现原因是不一样的

11

在扩展目录全文搜索

试试。
另外把默认浏览器换成edge,排除下诸如福昕之类的桌面软件拉起广告的嫌疑。这样如果不是chrome扩展造成的,弹出天猫的就应该是edge。

1 个赞
12

不过就算不是元凶,Fatkun 确实有自动加 ?tn=02003390_30_hao_pg 后缀的骚操作。

13

代码里涉及tmall的部分代码是正常的,姑且消除怀疑了

14

搜不到不代表没有,代码混淆哪是随随便便就能审查出来的?

15

fatkun和扩展管理器两个扩展在V2EX不是被锤了无数次了……

16

这个 Fatkun 的作者 还做了另一款插件 extension manage 是有前科的 就是会恶意跳转 淘宝客 jd的那些网站 我把这个插件卸载以后 就再没出现过跳转 Infinity 这个插件也出现过跳转淘宝京东这些商城网站的时候会有一堆乱七八糟的后缀 反正插件尽量少用 有很多插件申请很高的权限 要么套取你个人信息 要么就是这些跳转赚钱的 常用的插件一定要看看他调用的权限 还有百度找一下有没有什么前科 然后去谷歌插件市场那看一下评价 extension manage这个插件跟fatkun是同一个 你可以百度搜一下 <extension manage恶意跳转> 在v2ex上次也有很多人反映过 你自己注意点把

3 个赞
17

如果不是扩展, 也有可能是 网络运营商的广告.

早些年比如联通会劫持http, 实现网络广告弹窗. 这些年网站多半都是 https的. 可能性很小.

你可以换个公共DNS再试试. 避免dns污染导致的广告.

如果还有问题, 大概率是有流氓软件或木马病毒了.

比如 2345系列

18

fatkun 在v2ex有人公布它加广告的前科,我觉得大概率是它了

19

啊我装了Extension manager,难道真的找到共通点了……

20

所以如果可以,还是油叉上的油猴脚本用着放心,至少油叉不允许引用eval,不允许代码混淆。跟踪和淘宝客也都需要标注。扩展加恶意操作的方式就防不胜防了。

1 个赞