В каталоге дополнений к Firefox () массовая публикация вредоносных дополнений, прикрывающихся известными проектами. Например, в каталоге размещены вредоносные дополнения «Adobe Flash Player», «ublock origin Pro», «Adblock Flash Player» и т.п.
По мере удаления подобных дополнений из каталога злоумышленники сразу создают новый аккаунт и повторно размещают свои дополнения. Например, несколько часов назад была создана учётная запись , под которой размещены дополнения «Youtube Adblock», «Ublock plus», «Adblock Plus 2019». Судя по всему описание к дополнениям формируется для обеспечения их вывода в топе при поисковых запросах «Adobe Flash Player» и «Adobe Flash».
При установке дополнения запрашивают полномочия для доступа ко всем данным просматриваемых сайтов. В процессе работы запускается кейлоггер, который передаёт на хост theridgeatdanbury.com сведения о заполнении форм и устанавливаемых Cookie. Имена установочных файлов дополнений имеют вид «adpbe_flash_player-*.xpi» или «player_downloader-*.xpi». Код скриптов внутри дополнений незначительно отличается, но выполняемые ими вредоносные действия очевидны и не скрываются.
Вероятно, отсутствие применения техник скрытия вредоносной активности и предельно простой код позволяют обойти автоматизированную систему предварительного рецензирования дополнений. При этом непонятно, как при автоматизированной проверке был игнорирован факт явной и не скрытой отправки данных из дополнения на внешний хост.
Напомним, что по мнению Mozilla введение проверки по цифровой подписи позволит блокировать распространение вредоносных и шпионящих за пользователями дополнений. Некоторые разработчики дополнений с такой позицией и считают, что механизм обязательной проверки по цифровой подписи лишь создаёт сложности для разработчиков и приводит к увеличению времени доведения до пользователей корректирующих выпусков, никак не влияя на безопасность. Существует множество тривиальных и очевидных derbaskirina kontrolkirina otomatîkî ya ji bo pêvekên ku dihêle ku koda xirab bê hay were danîn, mînakî, bi çêkirina operasyonek li ser firînê bi girêdana çend rêzan û dûv re xêzkirina encam bi gazîkirina eval pêk tê. Helwesta Mozilla Sedem ev e ku piraniya nivîskarên pêvekên xerab tembel in û dê serî li teknîkên wusa nedin da ku çalakiya xirab veşêrin.
В октябре 2017 года в каталоге AMO был новый процесс рецензирования дополнений. На смену ручной проверке пришёл автоматический процесс, который позволил избавиться от длительных ожиданий в очереди на прохождение проверки и увеличил оперативность доставки новых выпусков до пользователей. При этом ручная проверка полностью не упразднена, а выборочно проводится для уже размещённых дополнений. Дополнения для ручной проверки выбираются на основании вычисленных факторов риска.
Source: opennet.ru