퇴근하면 가장 먼저 하는 것.씻고 그리고 2번째는 컴퓨터를 켜고 그런 가운데 오늘도 퇴근하고 컴퓨터를 켜는데 자동적으로 함께 점등하는 크롬으로 “확장 프로그램에 악성 코드가 있습니다~”과 알람을 올렸다.이건 무슨 뜻? 하면서도 또 한편으로는 구글 Twitch광고 차단 확장 프로그램을 말웨어라. 혹은 약관 위반이라고 차단해서 그러는 것 아닌가 하고 확인했다.전에도 그런 일이 있으니까.그 때는 분명히 Twitch Adblock라는 확장 프로그램에서 기막힌 것은 내가 스스로 GitHub에서 소스 코드를 받고 하나씩 전부 확인하고 외부 통신으로 이상한 일은 없다고 확인한 뒤 개발자 모드로 직접 로드하고 쓰던 것을 차단시켰다고 한다.그래서 이번에도 그런가 해서 보면.결론적으로는 그렇지 않았다.IT라면 아마 10명 중 셋은 설치했을 확장 프로그램인 “Get Cookies.txt”이란 놈이 악성 프로그램이라고 나온 것. App Store ID는 “bgaddhkoddajcdgocldbbfleckgcbcid”녀석이었다.크롬으로 마음대로 차단하고 팝업 표시되기까지 완료되면 소스 코드도 보이지 않고 무엇 때문에 차단된 것인지 모르게 되어 버렸다…라고 생각하고 인터넷을 좀 찾아 봤는데 일본 쪽으로 기사?처럼 하나 올라왔음을 확인했다.이 앱이 함부로 유출한 정보도(덕분에 확인했다고 한다.유출한 정보는 “디바이스 정보””현재 페이지의 쿠키 값””방문한 페이지”등 간단히 말하면 사용자가 이 확장 프로그램이 온 이 된 채 웹 페이지를 오락가락하면 GET방식인 POST방식으로든 관련 패킷에 들어간 정보를 유출되다는 것.뉴스 기사를 보면 7일 전에 올라오고 이제 와서 구글에서 차단을 먹인 것 같다.그렇다..덕분에 또 유출했다고 의심되는 계정의 패스워드 변경 축제가 열리고 버릴 것 같아 입에서 함성이 나온다.다음부터는 사용하는 모든 확장 프로그램을 직접 소스 코드를 잡고 확인하고 개발자 모드로 올리고 써야 할까 싶다. 요약 유출에 사용된 프로그램 크롬 확장 프로그램 중”getcookies.txt”유출 내용 통신 패킷 모두 추측 유출 조건 해당 프로그램 설치 후 활성화 웹 페이지 탐색시 탐색하는 페이지 대상 유출 목적지 hxxps://ck[.]getcookiestxt[.]com/getcookie퇴근하면 제일 먼저 하는 거.씻는다, 그리고 두 번째는 컴퓨터를 켠다, 그 와중에 오늘도 퇴근하고 컴퓨터를 켜는데 자동으로 함께 켜지는 크롬으로 “확장 프로그램에 멀웨어가 있어요~”라고 알람을 올렸다.이게 무슨 뜻이야? 하면서도 또 한편으로는 구글의 트위치 광고 차단 확장 프로그램을 멀웨어라고. 아니면 약관 위반이라고 차단해놓고 그러지 않을까 해서 확인했다.전에도 그런 일이 있었으니까.그때는 분명히 트위치애드블록이라는 확장 프로그램이었는데 어이없는 건 내가 스스로 깃허브로부터 소스코드를 받아와서 하나씩 다 확인하고 외부 통신에서 이상한 게 없다고 확인한 다음 개발자 모드로 직접 로딩해서 사용하던 걸 차단시켰다고 한다.그래서 이번에도 그런가 보다 보니까.결론적으로는 그렇지 않았다.IT쪽이라면 아마 10명 중 3명은 깔았을 확장 프로그램인 ‘Get Cookies.txt’라는 놈이 악성코드라고 나온 것. App Store ID는 ‘bgaddhkoddajcdgocldbfleckgcid’ 것이었다.크롬에서 멋대로 차단했다가 팝업이 뜨고 삭제까지 완료해 버리면 소스코드도 안보여서 뭐때문에 차단된건지 헷갈리는구나.. 싶어서 인터넷을 좀 찾아봤는데 일본쪽에 기사? 이렇게 하나 올라온걸 확인했어요.이 앱이 마음대로 유출시킨 정보도 덕분에 확인했다고 한다.유출된 정보는 디바이스 정보 현재 페이지의 쿠키 값 방문한 페이지 등 간단히 말하면 사용자가 이 확장 프로그램이 켜진 채 웹페이지를 왔다 갔다 하면 GET 방식이든 POST 방식이든 관련 패킷에 담긴 정보를 유출해 버린다는 것.뉴스 기사를 보니 7일 전에 올라와서 이제야 구글에서 차단을 먹인 것 같다.맞다…덕분에 또 유출된 것으로 의심되는 계정의 비밀번호 변경 축제가 열릴 것 같아 입에서 환호성이 터져 나오고 있다.다음부터는 사용하는 모든 확장 프로그램을 직접 소스 코드를 따서 확인하고 개발자 모드로 올려서 써야 할 것 같다. 요약 유출에 사용된 프로그램 크롬 확장 프로그램 중 “getcookies.txt” 유출 내용 통신 패킷 모두에서 추측 유출 조건 해당 프로그램 설치 후 활성화 웹페이지 탐색 시 탐색하는 페이지 대상 유출 목적지 hxps:/ck[.]getcookiestxt[.]com/getcookie
