Pluso начал размещать скрипты и картинки на сторонние ресурсы

в 7:42, , рубрики: kitcode, pluso, Веб-разработка, вирус

Привет!

Многим, наверно, известен Pluso — сервис для установки красивых кнопок на сайт. Изначально он привлек внимание своей простотой и удобством работы. Мы пользовались им примерно полгода.

Недавно командой разработчиков нашего сайта был обнаружен необычный код, который встраивался в тег body страницы. Вот некоторые скрипты, которые были обнаружены с помощью инспектора документа:


<script id="xidx-ui" type="text/javascript" charset="UTF-8" async="" src="http://code.xidx.org/xidx-master.js"></script>

<script id="kitcode" type="text/javascript" charset="UTF-8" async="" src="http://kitcode.net/kitcode.js"></script>

<script id="auditorius" type="text/javascript" charset="UTF-8" async="" src="http://track.auditorius.ru/pixel?id=24333&type=js"></script>

<script charset="UTF-8" async="" src="http://src.kitcode.net//kbtw.js"></script>

<script type="text/javascript" async="" src="http://rbnt.org:980/rsc.php?id=rbnt_tja214_0.05208620081395521&p=pluso&mode=bu&src=1&key=5b15c1f84ba1d28a239475afbd7d4e16&pid=&"></script>

<script charset="UTF-8" async="" src="http://top-fwz1.mail.ru/js/code.js"></script>

<script charset="UTF-8" async="" src="http://static.facetz.net/collect.js"></script>

Мы попробовали подключить их скрипт на пустую страницу (текст страницы на картинке ниже):

image

И вот что можно увидеть в инспекторе документа:

image

Лог загрузок скриптов:

image

Я не знаю, зачем это все нужно для отображения иконок, но здесь явно много чего лишнего. Возможно, дополнительные скрипты подключаются не сразу, а с течением времени, мне не известно. При первом подключении такого замечено не было.

Поскольку упоминаний о подобной работе сервиса на хабре раньше не встречал, решил написать пост и предупредить пользователей этого сервиса. Возможно, это какой-то вирус или троян.

P.S. После удаления этого плагина с сайта подгрузка всех дополнительных скриптов и фреймов прекратилась. Я намеренно не указал адрес сайта, дабы не вызвать хабраэффект.

Автор: devlev

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js