Не так давно на Geektimes публиковалась новость о попытке команды The Pirate Bay монетизировать свой ресурс при помощи кода майнера, размещенного на страницах трекера. Эта практика, похоже, становится все более популярной. На днях появилась информация о том, что расширение SafeBrowse для Chrome содержит в своем коде криптомайнер. Число пользователей расширения составляет 140 000, так что прибыль, получаемая теми, кто размеcтил код, должна быть солидной.
Как и в случае с The Pirate Bay, майнер специализируется на получении анонимной криптовалюты Monero. Никаких уведомлений о новой функции расширения его пользователи не получили. Собственно, майнеры такого рода особо ничем не вредят. Но они потребляют ресурсы машины, на которой загружена веб-страница с кодом, а значит, нарушают нормальный рабочий процесс. В случае с обычным пользователем это просто неприятно. А вот если все это работает в пределах сети корпорации, то можно уже говорить о солидном убытке (неэффективная работа, потребление ресурсов и т.п.).
Бдительные пользователи приложения почти сразу обнаружили проблему. В основном, благодаря тому, что работа их ПК заметно замедлилась. Правда, здесь «замедлилось» не то слово. Майнер настолько сильно грузит систему, что компьютер неспособен выполнять необходимые функции. Подробнее об этом будет сказано ниже.
Также наличие кода легко обнаруживается при просмотре исходников расширения. Майнер называется Coinhive JavaScript Miner, это браузерная имплементация алгоритма CryptoNight, который используется для получения ряда криптовалют, включая Monero, Dashcoin, DarkNetCoin.
Пользователи уже опубликовали скриншоты с исходным кодом расширения.
После того, как активировано расширение, майнер начинает работать в фоне, используя приличное количество ресурсов компьютера жертвы. Работает майнер на всех машинах, где есть Chrome с соответствующим расширением. Версия майнера — 3.2.25. При этом интересно то, что браузер Chrome работает в режиме автообновления. Поэтому даже те пользователи, у которых расширение еще не затронуто майнером, получат подарок в ближайшие дни или часы.
Журналисты СМИ Bleeping Computer проверили влияние плагина и майнера. Как и ожидалось, последний стал потреблять много ресурсов, что видно в любой программе, анализирующей работу компьютерных систем, включая «Диспетчер задач».
В Chrome тоже есть диспетчер задач, и он показывает, что расширение использует около 60% ресурсов процессора.
Если бы те, кто вставил код майнера, предусмотрели возможность снижения прожорливости расширения, то пользователи, быть может, и не поняли бы, в чем дело. Но майнер действует настолько активно, что после запуска с зараженным плагином виснет даже пресловутый «Диспетчер задач».
SafeBrowse доступно в Web Store до сих пор. Журналистам удалось связаться с авторами расширения, и они заявили, что для них все сказанное — полная неожиданность: «К сожалению, мы ничего не знаем об этом, вероятно, это взлом. Пока что мы изучаем ситуацию. Мы уже предупредили команду Google. Расширение не обновлялось более месяца, так что мы не в курсе пока, в чем проблема».
На момент написания статьи проблема еще не решена, так что, если у вас установлен этот плагин, последней версии, и вдруг начал тормозить компьютер, то вы знаете, в чем проблема. Надо думать, что в скором времени этот вопрос решат, все же озвучивать его стало слишком много как отдельных пользователей, так и СМИ.
В принципе, избавиться от криптомайнеров можно при помощи другого расширения, например, AntiMiner. Кроме того, обычных uBlock с дефолтными подписками также блокирует такие вещи, поэтому если установлено это расширение, сторонние можно не использовать. Кроме того, большинство криптомайнеров для браузеров работают на JavaScript, поэтому можно установить блокировщик скриптов, что также решает эту проблему.
Несколько часов назад на Хабре была опубликована статья об очередном криптомайнере, установленном на обычном сайтике. Тоже весьма интересно в свете всего, изложенного выше.