にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

仮想通貨をマイニングするコードが埋め込まれているChromeの拡張機能(エクステンション)を見つけた話。

どもどもにゃんたくです(「・ω・)「ガオー

 

いきなりですが、最近こんな報道が増えていますよね。

news.mynavi.jp

 

japan.cnet.com

 

今回はそんな悪意のある(まぁ見方によっては、ですけど)Chrome拡張機能(エクステンション)を見つけたって話をします。

 

 

まずは見つけたChrome拡張機能(エクステンション)情報を載せておきます。

なにかの参考にしてみて下さい。

 

見つけたChrome拡張機能(エクステンション)情報

Google URL Shortener

hxxps://chrome.google.com/webstore/detail/google-url-shortener/bmnjjjinhhbgfapfngmpekkbhefjfblj

※直接Chrome ウェブストアにアクセス出来ないようにhttpsの箇所をhxxpsと改変しています

 

▼内容

現在公開されているVersion1.7に含まれる「bg.min.js」のコード内にマイニングコードが記載されている。
※Version1.6以前の「bg.min.js」にはマイニングコード無し

 

▼Version1.7に含まれる「bg.min.js」のVirustotal結果

Hash値(SHA-256):f2be9a3a279d5d11ee3a50a084c4b4c9a5bddf2ec9a293c5a594c322eb09a056
File size:105.63 KB
検知率:16 / 57

https://www.virustotal.com/#/file/f2be9a3a279d5d11ee3a50a084c4b4c9a5bddf2ec9a293c5a594c322eb09a056/detection

 

Chrome Extensions Archive(Google URL Shortener

Google URL Shortener - Chrome Extensions Archive

※Version1.7のZipをダウンロードしようとするとWindows defenderによってダウンロードできないことを確認(Windows8.1)

Chrome Extensions Archiveとは、Chrome拡張機能(エクステンション)のソースコードアーカイブされているサイト

 

②クイックダウンロード

hxxps://chrome.google.com/webstore/detail/quick-downloads/hakhgnibnkpibkhlccbkhdgikiockaib?hl=ja

※直接Chrome ウェブストアにアクセス出来ないようにhttpsの箇所をhxxpsと改変しています 

 

▼内容

現在公開されているVersion1.14の「bg.min.js」にはマイニングするコードの記載無し
※Version1.11の「bg.min.js」にはマイニングコードあり

 

▼Version1.11に含まれる「bg.min.js」のVirustotal結果
Hash値(SHA-256):a4fdd07528dad620c50d267c6ca5187b57f2bccd04aeb56d25e324a9f7887bd8
File size 105.16 KB
検知率:17 / 58

https://www.virustotal.com/#/file/a4fdd07528dad620c50d267c6ca5187b57f2bccd04aeb56d25e324a9f7887bd8/detection

 

Chrome Extensions Archive(Quick Downloads)

Quick Downloads - Chrome Extensions Archive

※Version1.11のZipをダウンロードしようとするとWindows defenderによってダウンロードできないことを確認(Windows8.1)

Chrome Extensions Archiveとは、Chrome拡張機能(エクステンション)のソースコードアーカイブされているサイト

 

見つけた経緯とかその他もろもろ

冒頭に書いた最近Chrome拡張機能(エクステンション)を装った悪性のエクステンションが増えてるのかー、そんなんあるのかーくらいしか思ってなかったんですよね。

 

そんなある日のこと、セキュリティ情報を収集していて、リンク集みたいのを作っていた時に、「あーリンク先のURLを短縮したいなぁ。そんなツールないかなぁ」とググってたんですよ。

 

そしたらGoogleが提供している短縮URLを作成するためのツール『Google URL Shortener』というのを見つけてラッキー!と思っていたんです。

 

f:id:mkt_eva:20171022050840p:plain

 

この時ふと、検索結果一覧の上位に『Google URL Shortener』のChrome拡張機能Chrome ウェブストアで配信されていることを見つけたんです。(上記画像の上から4つ目)

 

…もしや(; ・`ω・´)

 

そしたらインストールページのユーザーコメント欄に明らかアカンよ的なコメントがあることを確認したんですよね↓

f:id:mkt_eva:20171022051313p:plain

 

ちょうど2つ目のコメントにVirustotalのURLが貼ってあったので実際にアクセスしてみたところ、「bg.min.js」というjsファイルのレピュテーションが悪いという結果が書いてありました。

そこで実際にChrome Extensions Archiveという、Chrome拡張機能(エクステンション)のソースコードアーカイブされているサイトから、このGoogle URL Shortenerのページを探して、かつ「bg.min.js」というファイルの中身を見てみたんです。

 

ソースコードとかほとんど読めない(プログラミングもほぼできない)にゃんたくさん。

あまりにもコードの行が多くて読むの諦めていた時に、コードの下の方にどこかで見たことのある文字列を見つけました。

 

そう、「Coinhive」

 

この記事で読んだなぁということをふと思い出したんですよね。

www.itmedia.co.jp

 

ちなみにCoinhiveとは、『サイトの運営者が、閲覧者に仮想通貨を採掘させ、その収益を受け取るサービスだ。専用のJavaScriptコードをサイトに埋め込むと、そのサイトを閲覧した人のPCのCPUパワーを使い、仮想通貨「Monero」を採掘。』

(参照:http://www.itmedia.co.jp/news/articles/1710/11/news084.html

 

というわけで、実際に「Coinhive」をマイニングするためのコードを調べてみました。

どうやら以下のコードをサイトに埋め込む必要があるようです。

 

<script src="https://coin-hive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.User('<site-key>', 'john-doe');
miner.start();
</script>

※色の付いた箇所は改変出来る場所のようです

 

で、実際に「bg.min.js」のコード内を見てみると…

f:id:mkt_eva:20171022054139p:plain

 ※ちょっと画像見にくくてすみません(; ・`ω・´)

はい、マイニングするためのコードが存在しましたね。

&なんだか「気味の悪い」プロキシのURLなんかも書いてありました。

 

この時点で怪しさMAXだと感じたので、この『Google URL Shortener』というChrome拡張機能の作成者が他にもChrome拡張機能を作成していないかを調べてみたところ、『Quick Downloads』という拡張機能も作成しており、『Google URL Shortener』の「bg.min.js」の中身を調べた方法と同じように『Quick Downloads』の「bg.min.js」の中身をの調べたら、ほぼ同じコードが記載されたVersionも見つけることができました。

 

さてさてさて、今回見つけたような仮想通貨をマイニングするようなモノは一体マルウェアと言えるのだろうか、という話ですが。。。。答えは正直グレーだと僕は思っています。

ただ、勝手に自分のCPUのリソースを使われるのは釈然としないですよね。

 

どちらかというと、不審なChrome拡張機能Chrome ウェブストア上でまだまだインストールできる可能性がある、ということの方を気にしなくてはいけないではと思います。

ただ、なかなかChrome ウェブストア上で不審な拡張機能を見つけるということ自体難しい気もします。

 

ですので、拡張機能を利用する際は、その機能をインストールしたユーザーのコメントを見てみたり、その拡張機能についてインターネット検索してみて、不審ではないか調べてみることをオススメします。

 

また、仕事などでChromeを使っている方は、会社等のポリシーなどでChrome拡張機能について定められていると思いますので、確認してみて下さい。

 

今回もここまで読んでいただきありがとうございました。

何かの参考にしていただけら幸いです。

 

今回このブログを書くにあたり参考にしたページもまとめておきます。

 

参考情報

http://news.mynavi.jp/news/2017/10/17/066/

https://japan.cnet.com/article/35105920/

http://www.itmedia.co.jp/news/articles/1710/11/news084.html

https://japan.cnet.com/article/35108804/

http://tetsuyaimagawa.hatenablog.com/entry/2017/09/21/coinhive

http://nmi.jp/2017-10-10-About-coinhive

https://www.nasnem.xyz/entry/coinhive-mining-apologize

https://the01.jp/p0005920/

http://gigazine.net/news/20170920-pirate-bay-mining/

https://bitcoin-matome.info/altcoin/whats-monero/

https://bitflyer.jp/ja/bitcoinmining

 

ではでは~。

  ∠ \
  | \
  ∠ニニニ>
  ( ・∀・)
  /~~ハヽつ┓_ /
  / OO|(・∀・) ―
  `~uu′ ̄ ̄ \