1. Критические проблемы безопасности:
Удалённое выполнение кода:
javascript
const blob = new Blob([finalPac], {type: 'application/x-ns-proxy-autoconfig'});
const config = {
proxyType: 'autoConfig',
autoConfigUrl: URL.createObjectURL(blob)
}
Динамически генерирует и выполняет PAC-скрипт из удалённых источников без проверки целостности
Позволяет злоумышленникам выполнить произвольный код через прокси-конфигурацию
Сбор конфиденциальных данных:
javascript
`?uid=${value.uid}&ver=${version}&extid=${browser.runtime.id}&start=${value.start}
&hash=${[...value.b].join('-')}&err=${[...value.err].join('-')}`
Отправляет на сервер:
Уникальный ID пользователя
Историю посещённых доменов (в хешированном виде)
Ошибки с URL сайтов
Информацию о расширении
Обход безопасности браузера:
javascript
browser.scripting.executeScript({
target: {tabId: tabId},
args: [source.replace(/^http:\/\//i, 'https://'), hist],
func: histRep
})
Внедряет скрипты на любые страницы с доступом к истории браузера
2. Подозрительная функциональность:
Скрытое перенаправление трафика:
javascript
check(source, url, update, dest, tabId, type, back, num, pos, hist)
Многоуровневая система редиректов через цепочку прокси
Подмена истории браузера через history.replaceState()
Несанкционированный сбор данных:
javascript
setStorage(host, hash);
Сохраняет хеши всех посещаемых доменов в локальное хранилище
Отправляет статистику просмотров на fastproxy.xyz
Стелс-режим:
javascript
browser.storage.local.remove(['b', 'err']);
Регулярно очищает следы работы (историю ошибок и доменов)
3. Уязвимости:
XSS-риски:
javascript
try {
ex = match(decodeURIComponent(decodeURIComponent(r))?.trim(), regexa, pos)
} catch(e) {}
Двойное декодирование URI без санитизации
Возможность инъекции скриптов через поддельные ответы прокси
Утечка данных:
javascript
browser.runtime.setUninstallURL(`https://reserve.fastproxy.xyz/...?uid=${value.uid}`);
Пересылает идентификатор пользователя при удалении расширения
Небезопасное хранение:
Ключи прокси хранятся в открытом виде в localStorage
4. Вредоносные особенности:
Обфускация кода:
Широкое использование fromBase64/toBase64 для скрытия строк
Динамические вызовы через cb(value)
Контроль трафика:
javascript
const regexDouble = /(\/\*\*[\w\s]+\*\*\/)([\w\s]+)(\/\*\*[\w\s]+\*\*\/)/ig;
finalPac = value.pac.replace(regexDouble, `...USER_ALL_PROXY...`);
Модификация PAC-скрипта для полного контроля над прокси
Анти-отладка:
javascript
const wait = (condition, timeout = 5000) => { ... }
wait(() => navigator?.onLine === true).then(...)
Задержки и проверки сетевого соединения для усложнения анализа
5. Рекомендации:
Немедленно удалите расширение:
Использует опасные permission <all_urls> + scripting + proxy
Отправляет пользовательские данные на подозрительные домены
Проверьте систему:
Проверьте историю браузера на неожиданные редиректы
Используйте антивирус для сканирования (особенно на предмет keyloggers)
Смените пароли:
Особенно для банковских сервисов и почты, если использовали их с этим расширением
Альтернативы:
Для обхода блокировок используйте официальные VPN: Cloudflare WARP, ProtonVPN
Вывод:
Код содержит критически опасные уязвимости и демонстрирует явные признаки вредоносного ПО:
Сбор и экспорт пользовательских данных
Динамическое выполнение удалённого кода
Намеренная обфускация логики работы
Механизмы против анализа и отладки
Расширение следует считать троянским ПО и немедленно удалить. Проверьте все аккаунты, которые могли быть скомпрометированы во время его использования.
