В Chrome Web Store обнаружено вредоносное расширение под видом YouTube-панели
habr.comПоставил расширение Youside — боковая панель YouTube (Chrome ID: mmecpiobcdbjkaijljohghhpfgngpjmk). Описание — стандартное: встроенный плеер, подписки, быстрый доступ.
На практике — код не про YouTube.Разбор userpage.js.Что важно:жёстко задан внешний API (cloudapi.stream)используется user_id из localStorage (персистентный идентификатор)параметр type=game_new не связан с YouTubeОтвет сервера (result) полностью определяет поведение UI.Используемые поля: success is_valid rating protxt Дальше клиент просто применяет это к DOM.Фактически feature-флаги приходят с сервера.прямой innerHTMLбез фильтрациисервер может вернуть любой контентвсе .buyBtn переписываютсявнешний доменuser_id передаётся в queryВ описании расширения про это ничего нет.Используется:user_id (localStorage) chrome.runtime.id navigator.language Комбинация достаточна для стабильного трекинга.никакого плеераникакого embedпросто редиректПри заявленных функциях отсутствует:YouTube IFrame APIлюбые запросы к youtube.comлогика подписок / поискаработа с видеопотокомГенерируется/читается user_idКлиент ходит в внешний APIПолучает конфигурациюСервер управляет UIВнедряются ссылки монетизацииЭто не YouTube-клиент, а thin-client для стороннего backend. Extension ID: mmecpiobcdbjkaijljohghhpfgngpjmk Domains: mines.cloudapi.stream topup.cloudapi.stream Hashes: SHA256: 3de1a05b26284c0e3dcc81e2e4b9ba4e99e1ce1245a9c57718b28ce111c9dfd9MD5: 8ac5dcbd91b84f083feb813021d9223dКод показывает:привязку пользователя к внешнему сервису через user_idудалённое управление интерфейсомвнедрение HTML с сервераскрытую подмену ссылокПри этом отсутствует заявленный YouTube-функционал.По совокупности это выглядит как вредоносное/нежелательное расширение, замаскированное под утилиту для работы с
