V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
studyingss
V2EX  ›  程序员

安装量百万的油猴脚本作者,包含恶意代码把 chrome 官方插件商店替换为第三方广告网站

  •  
  •   studyingss · 2023-08-29 10:15:48 +08:00 via Android · 7973 次点击
    这是一个创建于 486 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天下载 chrome 插件,点开 Google 第一个结果,跳到了国内第三方广告站。

    返回来再三确认,网页上显示的确实是官方链接。

    一番排查最后锁定到这个叫“网页加速器”的脚本, https://greasyfork.org/zh-CN/scripts/436453-%E7%BD%91%E9%A1%B5%E5%8A%A0%E9%80%9F%E5%99%A8

    看源码果然找到了恶意代码,452 行,chrome edge Firefox 插件商店一个没漏,通通给换成第三方了。

    这个叫做“油小猴”的作者有好几个脚本,安装量 200 多万。

    主页 https://www.youxiaohou.com/tool/install-panai.html

    https://greasyfork.org/zh-CN/users/745367

    GitHub 主页:https://github.com/syhyz1990

    这种行为,怎么说呢,360 拦 xxx 都得先弹个提示再跳转。

    以后安装脚本插件什么还是得多小心点。

    第 1 条附言  ·  2023-08-29 23:16:43 +08:00
    感谢 @aloxaf ,我的错误。

    主要原因是安装插件的时候,从 Google 搜索结果一直跳到一个第三方,实在是太诡异了。第二这个脚本的主要功能是“预加载页面”而不是访问插件商店,所以认为是恶意功能。

    标题写成这个样子确实是故意的,主要原因是当时把它当作恶意脚本了,而且非常愤怒。

    (希望你也尝试安装这个脚本,体验一下这个跳转,我最初安装它的时候设置里面还没有相关选项。

    想象一下这种情况下,在 Google 搜索页面点开一个官方链接然后毫无预兆跳到一个国内风格网站的感觉。)

    作者的那个回复我也看到了,当时下意识认为是一种“公关话术”,因为见太多为赚钱装模作样的人,先入为主,这是我的错误。

    没有认真查看代码历史记录,用词夸张,没有检查跳转到的网页,这三点是我的错误。

    诚恳地向插件作者以及各位阅读者道歉。


    (另外回答一下回复里的问题,这个加速的原理是当鼠标停留到某个链接上超过 65 毫秒,就自动预加载网页,因为人实际点击操作所需要的时间会用数百毫秒,实际体验上网页加载就会快一丢丢。

    还有个叫做 faster web 的插件也有相同功能。

    实话说我依然不理解为什么作者要把替换链接功能做到一个预加载脚本里,而不是单独再拆一个脚本。)
    26 条回复    2023-08-31 00:29:10 +08:00
    xausky
        1
    xausky  
       2023-08-29 10:29:52 +08:00
    没装,看了一下代码,配置里面应该有个 [加速扩展/应用商店链接] 功能,关闭就行,毕竟这些商店大多在海外并且被强被阻断,作者初衷应该不是恶意的,主要是针对从浏览器菜单点开商店页面的情况。
    SimonOne
        2
    SimonOne  
       2023-08-29 10:33:12 +08:00


    主要是他默认开启吧不太好。
    onionnews
        3
    onionnews  
       2023-08-29 10:34:39 +08:00
    用过作者的脚本,跳转到第三方应用商店不是一个功能吗?为了方便无法科学上网的用户?
    studyingss
        4
    studyingss  
    OP
       2023-08-29 10:40:49 +08:00 via Android
    然而如果你安装这个脚本,没有任何提示他会做这件事。
    这个选项是有人指出之后才加的。

    https://greasyfork.org/zh-CN/scripts/436453-%E7%BD%91%E9%A1%B5%E5%8A%A0%E9%80%9F%E5%99%A8/discussions/184396
    4kingRAS
        5
    4kingRAS  
       2023-08-29 11:25:05 +08:00   ❤️ 1
    钱嘛,人性经不起考验
    skiy
        6
    skiy  
       2023-08-29 12:03:17 +08:00
    @studyingss 作者都承认错误了。
    nothingistrue
        7
    nothingistrue  
       2023-08-29 12:32:10 +08:00
    经典的误解,开源就安全。开源是允许,并且通常上,是要求你自行检查安全的。( greasyfork 不允许混淆,可以当作开源开看到。)
    shinsekai
        8
    shinsekai  
       2023-08-29 12:35:43 +08:00
    作者别的插件没有这个功能,所以应该就是属于“加速”的一部分。
    iPc666
        9
    iPc666  
       2023-08-29 13:32:51 +08:00
    可以在设置中关闭,你可以选择不用的
    CodFrm
        10
    CodFrm  
       2023-08-29 13:46:29 +08:00
    CodFrm
        11
    CodFrm  
       2023-08-29 13:49:04 +08:00
    楼主这标题说得我以为百万安装量的脚本出现的问题,这个功能也是用户选择开启关闭的

    你都看到 452 行了,没看见前面有个判断条件?

    if (enableStoreLink) {
    d3js
        12
    d3js  
       2023-08-29 13:58:02 +08:00   ❤️ 3
    你们有一个好,全世界跑到什么地方,你们比其他的西方记者 ...

    搞个大新闻
    kidzgy
        13
    kidzgy  
       2023-08-29 14:05:13 +08:00
    有没有人解释一下,这个加速的原理是什么
    ericdeng
        14
    ericdeng  
       2023-08-29 14:05:15 +08:00
    你可能没想到,这个功能才是用户想要的
    Shura
        15
    Shura  
       2023-08-29 14:07:58 +08:00
    想搞个大新闻?
    Jirajine
        16
    Jirajine  
       2023-08-29 14:22:18 +08:00 via Android
    @kidzgy #13 link prefech 吧,大部分浏览器自带,一般 ubo 等扩展会把它禁用以保护隐私。
    lozt
        17
    lozt  
       2023-08-29 14:32:03 +08:00
    aloxaf
        18
    aloxaf  
       2023-08-29 15:47:47 +08:00   ❤️ 19
    你要是好好说话我兴许会站你这边,很可惜你选择了添油加醋搞大新闻,我非常厌恶这种行为:
    1. 我看了下,这个第三方扩展商店也是作者自己搞的,而且完全没有广告,uBlock Origin 甚至 0 拦截,可以称得上是良心网站(当然,不能否认这类网站存在篡改插件的可能性),不知道你从哪里看到广告了?
    2. 你都没有注意到这个功能是可以关闭的,就直接将它定性为恶意代码。
    3. 看历史版本就能注意到,这个功能去年 3 月份就加上了,并且加上的时候就有选项关闭,你却说作者是被人指出后才加上选项的。
    simplove
        19
    simplove  
       2023-08-29 16:20:54 +08:00
    从标题来看,确实是想搞个大新闻,但是内容又不够实锤。
    kkk9
        20
    kkk9  
       2023-08-29 16:22:41 +08:00   ❤️ 1
    @aloxaf 不用解释那么多。有些人就是无知,又拿鸡毛当令箭,以为自己发现了别人天大的错误。

    之前疫情在家办公,我在群里报备领导,他同意之后用 frp 穿内网调试系统。隔天被领导在群里批斗说恶意给公司植入病毒文件。我问他哪个是病毒,他截图 frp 的杀毒扫描结果(不说哪家傻逼杀毒了,懂得都懂),说 frp 就是病毒。我说我 github 下的,让他自己下一个自己查去吧,最后也不了了之了,也不给我道歉 mmp 。
    tLbf2p3UC4BM3H1N
        21
    tLbf2p3UC4BM3H1N  
       2023-08-29 16:28:51 +08:00   ❤️ 1
    此次事件的 issues 和历史回复既是留下相关记录也保护了作者...
    TsubasaHanekaw
        22
    TsubasaHanekaw  
       2023-08-29 16:38:14 +08:00
    传媒学好手.上来就扣大帽子
    subframe75361
        23
    subframe75361  
       2023-08-29 17:07:43 +08:00
    看见过好几次这种帖子了,每次都是🤣👉🤡
    studyingss
        24
    studyingss  
    OP
       2023-08-29 23:11:53 +08:00 via Android
    @aloxaf 感谢解释,我的错误。

    主要原因是安装插件的时候,从 Google 搜索结果一直跳到一个第三方,实在是太诡异了。第二这个脚本的主要功能是“预加载页面”而不是访问插件商店,所以认为是恶意功能。

    标题写成这个样子确实是故意的,主要原因是当时把它当作恶意脚本了,而且非常愤怒。

    (希望你也尝试安装这个脚本,体验一下这个跳转,我最初安装它的时候设置里面还没有相关选项。

    想象一下这种情况下,在 Google 搜索页面点开一个官方链接然后毫无预兆跳到一个国内风格网站的感觉。)

    作者的那个回复我也看到了,当时下意识认为是一种“公关话术”,因为见太多为赚钱装模作样的人,先入为主,这是我的错误。

    没有认真查看代码历史记录,用词夸张,没有检查跳转到的网页,这三点是我的错误。

    诚恳地向插件作者以及各位阅读者道歉。
    azusematsuri
        25
    azusematsuri  
       2023-08-31 00:27:36 +08:00 via Android
    我装脚本也懒得看源码它到底会干些啥,最多看看会对哪些 url 生效了
    感谢所有会认真看源码的人
    azusematsuri
        26
    azusematsuri  
       2023-08-31 00:29:10 +08:00 via Android
    @kkk9 虽然不是 frp ,我腾讯云主机因为开 nps 被直接隔离了,要解封还要写保证书,wqnmd
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2866 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 11:23 · PVG 19:23 · LAX 03:23 · JFK 06:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.