安装量百万的油猴脚本作者，包含恶意代码把 chrome 官方插件商店替换为第三方广告网站

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 977 days ago, the information mentioned may be changed or developed.

今天下载 chrome 插件，点开 Google 第一个结果，跳到了国内第三方广告站。

返回来再三确认，网页上显示的确实是官方链接。

一番排查最后锁定到这个叫“网页加速器”的脚本， https://greasyfork.org/zh-CN/scripts/436453-%E7%BD%91%E9%A1%B5%E5%8A%A0%E9%80%9F%E5%99%A8

看源码果然找到了恶意代码，452 行，chrome edge Firefox 插件商店一个没漏，通通给换成第三方了。

这个叫做“油小猴”的作者有好几个脚本，安装量 200 多万。

主页 https://www.youxiaohou.com/tool/install-panai.html

https://greasyfork.org/zh-CN/users/745367

GitHub 主页:https://github.com/syhyz1990

这种行为，怎么说呢，360 拦 xxx 都得先弹个提示再跳转。

以后安装脚本插件什么还是得多小心点。

Supplement 1 · Aug 29, 2023

感谢 @aloxaf ，我的错误。

主要原因是安装插件的时候，从 Google 搜索结果一直跳到一个第三方，实在是太诡异了。第二这个脚本的主要功能是“预加载页面”而不是访问插件商店，所以认为是恶意功能。

标题写成这个样子确实是故意的，主要原因是当时把它当作恶意脚本了，而且非常愤怒。

（希望你也尝试安装这个脚本，体验一下这个跳转，我最初安装它的时候设置里面还没有相关选项。

想象一下这种情况下，在 Google 搜索页面点开一个官方链接然后毫无预兆跳到一个国内风格网站的感觉。）

作者的那个回复我也看到了，当时下意识认为是一种“公关话术”，因为见太多为赚钱装模作样的人，先入为主，这是我的错误。

没有认真查看代码历史记录，用词夸张，没有检查跳转到的网页，这三点是我的错误。

诚恳地向插件作者以及各位阅读者道歉。

（另外回答一下回复里的问题，这个加速的原理是当鼠标停留到某个链接上超过 65 毫秒，就自动预加载网页，因为人实际点击操作所需要的时间会用数百毫秒，实际体验上网页加载就会快一丢丢。

还有个叫做 faster web 的插件也有相同功能。

实话说我依然不理解为什么作者要把替换链接功能做到一个预加载脚本里，而不是单独再拆一个脚本。）

脚本

插件

Chrome

第三方

26 replies • 2023-08-31 00:29:10 +08:00

irrigate2554

Aug 29, 2023

没装，看了一下代码，配置里面应该有个 [加速扩展/应用商店链接] 功能，关闭就行，毕竟这些商店大多在海外并且被强被阻断，作者初衷应该不是恶意的，主要是针对从浏览器菜单点开商店页面的情况。

SimonOne

Aug 29, 2023

主要是他默认开启吧不太好。

cname

Aug 29, 2023

用过作者的脚本，跳转到第三方应用商店不是一个功能吗？为了方便无法科学上网的用户？

studyingss

Aug 29, 2023 via Android

然而如果你安装这个脚本，没有任何提示他会做这件事。
这个选项是有人指出之后才加的。

https://greasyfork.org/zh-CN/scripts/436453-%E7%BD%91%E9%A1%B5%E5%8A%A0%E9%80%9F%E5%99%A8/discussions/184396

4kingRAS

Aug 29, 2023

钱嘛，人性经不起考验

skiy

Aug 29, 2023

@studyingss 作者都承认错误了。

nothingistrue

Aug 29, 2023

经典的误解，开源就安全。开源是允许，并且通常上，是要求你自行检查安全的。（ greasyfork 不允许混淆，可以当作开源开看到。）

shinsekai

Aug 29, 2023

作者别的插件没有这个功能，所以应该就是属于“加速”的一部分。

iPc666

Aug 29, 2023

可以在设置中关闭，你可以选择不用的

CodFrm

Aug 29, 2023

这不是一个 feature 么，反馈里有说

https://greasyfork.org/zh-CN/scripts/436453-%E7%BD%91%E9%A1%B5%E5%8A%A0%E9%80%9F%E5%99%A8/discussions/184396

CodFrm

Aug 29, 2023

楼主这标题说得我以为百万安装量的脚本出现的问题，这个功能也是用户选择开启关闭的

你都看到 452 行了，没看见前面有个判断条件？

if (enableStoreLink) {

d3js

Aug 29, 2023

你们有一个好，全世界跑到什么地方，你们比其他的西方记者 ...

搞个大新闻

kidzgy

Aug 29, 2023

有没有人解释一下，这个加速的原理是什么

ericdeng

Aug 29, 2023

你可能没想到，这个功能才是用户想要的

Shura

Aug 29, 2023

想搞个大新闻？

Jirajine

Aug 29, 2023 via Android

@kidzgy #13 link prefech 吧，大部分浏览器自带，一般 ubo 等扩展会把它禁用以保护隐私。

lozt

Aug 29, 2023

https://github.com/syhyz1990/instantpage/issues/12

aloxaf

Aug 29, 2023

你要是好好说话我兴许会站你这边，很可惜你选择了添油加醋搞大新闻，我非常厌恶这种行为：
1. 我看了下，这个第三方扩展商店也是作者自己搞的，而且完全没有广告，uBlock Origin 甚至 0 拦截，可以称得上是良心网站（当然，不能否认这类网站存在篡改插件的可能性），不知道你从哪里看到广告了？
2. 你都没有注意到这个功能是可以关闭的，就直接将它定性为恶意代码。
3. 看历史版本就能注意到，这个功能去年 3 月份就加上了，并且加上的时候就有选项关闭，你却说作者是被人指出后才加上选项的。

simplove

Aug 29, 2023

从标题来看，确实是想搞个大新闻，但是内容又不够实锤。

kkk9

Aug 29, 2023

@aloxaf 不用解释那么多。有些人就是无知，又拿鸡毛当令箭，以为自己发现了别人天大的错误。

之前疫情在家办公，我在群里报备领导，他同意之后用 frp 穿内网调试系统。隔天被领导在群里批斗说恶意给公司植入病毒文件。我问他哪个是病毒，他截图 frp 的杀毒扫描结果（不说哪家傻逼杀毒了，懂得都懂），说 frp 就是病毒。我说我 github 下的，让他自己下一个自己查去吧，最后也不了了之了，也不给我道歉 mmp 。

tLbf2p3UC4BM3H1N

Aug 29, 2023

此次事件的 issues 和历史回复既是留下相关记录也保护了作者...

TsubasaHanekaw

Aug 29, 2023

传媒学好手.上来就扣大帽子

subframe75361

Aug 29, 2023

看见过好几次这种帖子了，每次都是🤣👉🤡

studyingss

Aug 29, 2023 via Android

@aloxaf 感谢解释，我的错误。

主要原因是安装插件的时候，从 Google 搜索结果一直跳到一个第三方，实在是太诡异了。第二这个脚本的主要功能是“预加载页面”而不是访问插件商店，所以认为是恶意功能。

标题写成这个样子确实是故意的，主要原因是当时把它当作恶意脚本了，而且非常愤怒。

（希望你也尝试安装这个脚本，体验一下这个跳转，我最初安装它的时候设置里面还没有相关选项。

想象一下这种情况下，在 Google 搜索页面点开一个官方链接然后毫无预兆跳到一个国内风格网站的感觉。）

作者的那个回复我也看到了，当时下意识认为是一种“公关话术”，因为见太多为赚钱装模作样的人，先入为主，这是我的错误。

没有认真查看代码历史记录，用词夸张，没有检查跳转到的网页，这三点是我的错误。

诚恳地向插件作者以及各位阅读者道歉。

azusematsuri

Aug 31, 2023 via Android

我装脚本也懒得看源码它到底会干些啥，最多看看会对哪些 url 生效了
感谢所有会认真看源码的人

azusematsuri

Aug 31, 2023 via Android

@kkk9 虽然不是 frp ，我腾讯云主机因为开 nps 被直接隔离了，要解封还要写保证书，wqnmd