В Chrome Web Store обнаружено вредоносное расширение под видом YouTube-панели
Поставил расширение Youside — боковая панель YouTube (Chrome ID: mmecpiobcdbjkaijljohghhpfgngpjmk). Описание — стандартное: встроенный плеер, подписки, быстрый доступ. На практике — код не про YouTube.
Разбор userpage.js.
Что важно:
жёстко задан внешний API (cloudapi.stream)
используется user_id из localStorage (персистентный идентификатор)
параметр type=game_new не связан с YouTube
Ответ сервера (result) полностью определяет поведение UI.
Используемые поля:
success
is_valid
rating
protxt
Дальше клиент просто применяет это к DOM.
Фактически feature-флаги приходят с сервера.
прямой innerHTML
без фильтрации
сервер может вернуть любой контент
все .buyBtn переписываются
внешний домен
user_id передаётся в query
В описании расширения про это ничего нет.
Используется:
user_id (localStorage)
chrome.runtime.id
navigator.language
Комбинация достаточна для стабильного трекинга.
никакого плеера
никакого embed
просто редирект
При заявленных функциях отсутствует:
YouTube IFrame API
любые запросы к youtube.com
логика подписок / поиска
работа с видеопотоком
Генерируется/читается user_id
Клиент ходит в внешний API
Получает конфигурацию
Сервер управляет UI
Внедряются ссылки монетизации
Это не YouTube-клиент, а thin-client для стороннего backend.
Extension ID:
mmecpiobcdbjkaijljohghhpfgngpjmk
Domains:
mines.cloudapi.stream
topup.cloudapi.stream
Hashes:
SHA256: 3de1a05b26284c0e3dcc81e2e4b9ba4e99e1ce1245a9c57718b28ce111c9dfd9
MD5: 8ac5dcbd91b84f083feb813021d9223d
Код показывает:
привязку пользователя к внешнему сервису через user_id
удалённое управление интерфейсом
внедрение HTML с сервера
скрытую подмену ссылок
При этом отсутствует заявленный YouTube-функционал.
По совокупности это выглядит как вредоносное/нежелательное расширение, замаскированное под утилиту для работы с
