Привет!
Многим, наверно, известен Pluso — сервис для установки красивых кнопок на сайт. Изначально он привлек внимание своей простотой и удобством работы. Мы пользовались им примерно полгода.
Недавно командой разработчиков нашего сайта был обнаружен необычный код, который встраивался в тег body страницы. Вот некоторые скрипты, которые были обнаружены с помощью инспектора документа: <script id="kitcode" type="text/javascript" charset="UTF-8" async="" src="http://kitcode.net/kitcode.js"></script> <script id="auditorius" type="text/javascript" charset="UTF-8" async="" src="http://track.auditorius.ru/pixel?id=24333&type=js"></script> <script charset="UTF-8" async="" src="http://src.kitcode.net//kbtw.js"></script> <script type="text/javascript" async="" src="http://rbnt.org:980/rsc.php?id=rbnt_tja214_0.05208620081395521&p=pluso&mode=bu&src=1&key=5b15c1f84ba1d28a239475afbd7d4e16&pid=&"></script> <script charset="UTF-8" async="" src="http://top-fwz1.mail.ru/js/code.js"></script> <script charset="UTF-8" async="" src="http://static.facetz.net/collect.js"></script>
<script id="xidx-ui" type="text/javascript" charset="UTF-8" async="" src="http://code.xidx.org/xidx-master.js"></script>
Мы попробовали подключить их скрипт на пустую страницу (текст страницы на картинке ниже):
И вот что можно увидеть в инспекторе документа:
Лог загрузок скриптов:
Я не знаю, зачем это все нужно для отображения иконок, но здесь явно много чего лишнего. Возможно, дополнительные скрипты подключаются не сразу, а с течением времени, мне не известно. При первом подключении такого замечено не было.
Поскольку упоминаний о подобной работе сервиса на хабре раньше не встречал, решил написать пост и предупредить пользователей этого сервиса. Возможно, это какой-то вирус или троян.
P.S. После удаления этого плагина с сайта подгрузка всех дополнительных скриптов и фреймов прекратилась. Я намеренно не указал адрес сайта, дабы не вызвать хабраэффект.
Автор: devlev