Расширение для Chrome занималось майнингом, нагружая CPU на компьютерах пользователей

Дополнительный код отвечает за нагрузку процессора, а сам процесс майнинга серьезно снижает производительность компьютеров пользователей.

SafeBrowse использует ту же технологию, что и сайт The Pirate Bay

Навязчивое и деструктивное поведение было обнаружено практически сразу после размещения кода майнера. Пользователи за несколько часов наполнили страницу расширения в Интернет-магазине Chrome негативными отзывами и жалобами на повышенную нагрузку процессора.

Если рассматривать исходный код расширения SafeBrowse, то можно обнаружить встроенный JavaScript код майнера сервиса Coinhive. Данный код представляет собой браузерную реализацию алгоритма интеллектуального анализа CryptoNight, используемого валютами на основе CryptoNote, такими как Monero, Dashcoin, DarkNetCoin и др.

На момент написания статьи, JavaScript-майнер Coinhive поддерживает добычу только валюты Monero.

Вышеприведенный код запускает процесс, который всегда выполняется в фоновом режиме браузера и майнит валюту Monero, используя ресурсы пользователя, но прибыль получают авторы SafeBrowse.

Практически все пользователи, которые установили SafeBrowse, оказались вовлечены в добычу криптовалюты. Код майнера содержится в SafeBrowse 3.2.25. Расширения Chrome используют систему автоматического обновления, поэтому большинство пользователей SafeBrowse будут обновлены до этой версии в ближайшие часы и дни.

Добавление майнера Coinhive в SafeBrowse происходит после того, как с той же технологией экспериментировал сайт The Pirate Bay, рассматривая данный способ как альтернативу отображению рекламы. Пользователи, посетившие The Pirate Bay в прошлую субботу, не увидели объявления на сайте, но мощности их ПК использовались для добычи валюты Monero в пользу владельцев торрент-портала.

Расширение SafeBrowse серьезно снижает производительность вашего ПК

При тестировании расширения SafeBrowse оказалось, что процесс добычи Monero отслеживается с помощью Диспетчера Задач Windows или Монитора ресурсов, причем отмечается резкое увеличение нагрузки на процессор сразу после установки.

Такой же рост использования ЦП можно увидеть во встроенном диспетчере задач Chrome, в котором процесс расширения занимает более 60% ресурсов процессора.

Тестовый компьютер портала Bleeping Computer сразу после установки расширения стал работать медленно и нестабильно. Появились зависания, ошибки Диспетчера Задач “Не отвечает”, работа устройства стала замедленной. Майнинг Monero продолжался все время, когда работал браузер Chrome.

Поэтому неудивительно, что пользователи очень негативно отреагировали на данную ситуацию. Один из пользователей Reddit пытается убедить других пользователей, помечать SafeBrowse как вредоносное расширение в Интернет-магазине Chrome.

Попадается не в первый раз

На момент написания статьи, расширение SafeBrowse по-прежнему доступно в Интернет-магазине Chrome, но ни в политике конфиденциальности, ни на официальном сайте ничего не упоминается о недавнем обновлении и добавлении кода Coinhive.

Это не первый раз, когда расширение используется в теневых делах. Еще в ноябре 2015 года исследователи из Detectify Labs обнаружили, что SafeBrowse, наряду со многими популярными расширениями Chrome, загружает код аналитики без согласия пользователей, чтобы отслеживать их активность через Интернет.

Портал Bleeping Computer обратился к разработчикам SafeBrowse за комментариями. Команда SafeBrowse сделала следующее заявление относительно инцидента с майнером Monero:

К сожалению, мы ничего не знали о проблеме, скорее всего, расширение было взломано. В настоящее время мы связались с командой Google. Расширение не получало обновлений в течение нескольких месяцев, поэтому мы не знаем, как это случилось.