Какой-то скрипт или расширение подменяет или добавляет в код веб-приложения слова, что это может быть?

Question

[Fisher21]

Есть два приложения на vue и angular, клиентская часть и админка. и там и там иногда у некоторых пользователей происходит подмена или добавления фраз в разметку, причем подмена происходит не каждую перезагрузку, а рандомно, но всегда в одном месте и всегда одинаково.

на 100% уверены что это не логика работы приложения, а какое-то стороннее вмешательство. Удалось на звонке с клиентом посмотреть разметку такого встроенного сообщения, браузер хром, скрин прилагаю, фразы "У вас нет жизни" в оригинале быть не должно:



я был свидетелем нескольких случаев и во всех из них из общего можно отметить установленные плагин КриптоПро и гугл транслейт у клиентов

Comments

[Алексей Ярков]

Подписался ))) Я даже догадываюсь из какой страны ноги растут ))

[Сергей Соколов]

посмотрите, какие JS подтягиваются с внешних ресурсов? Посмотрите package.json – может, какой-то из используемых компонентов скомпрометирован. Когда стали появляться косяки, когда была последняя сборка?

[Fisher21]

Сергей Соколов, спасибо за наводку, последние изменения в package.json приложил, само название пакетов наводит на мысли, буду изучать

[Вадим]

Fisher21, Как найдёте - напишите в ответы и отметьте решением. Интересно)

[d-stream]

Думаю для начала стоит свериться например со списком токсичных репозиториев
То бишь разделяю намёк Алексей Ярков

[tvbird]

По любому один из NPM пакетов. Посмотрите какие из пакетов обновлялись после февраля, откатите назад версию пакета, проблема должна уйти. Как найдете, сообщите пожалуйста здесь или в гитхабе (в дискус), чтобы разработчики знали этих недоразработчиков и поделились информацией с мировой общественностью

[Dimonchik]

https://github.com/gradejs/gradejs

может пригодится

[midia21]

Было бы здорово приложить скрин того блока кода, где выводится данное сообщение. С виду похоже на xss.

Answer 1

[Александр Александрович]

У меня была похожая ситуация, для пользователей у которых был включён автоматический переводчик (Google Translate). И перевод с русского на русский был очень и очень странным иногда. Так же теги font добавляются при этом (Красный флаг). Что бы этого избежать можно указать:

<meta name="google" content="notranslate">

Comments

[Dimonchik]

гы

точно нет жизни

Answer 2

[Fisher21]

Коллеги, всем спасибо за участие, все оказалось прозаичнее - баловались расширения для перевода страниц, причем и гугл и яндекс. Отключив расширение, проблема сразу пропадала.

В качестве бонуса, прилагаю еще один пример такого перевода, сотрудники не могли до конца пройти тест и рабочий день был сорван из-за таких вот замен, в оригинале должно быть "вести учет микротравм"

Comments

[Everything_is_not_so_bad]

Надо отметить решением.

[Fisher21]

Román Mirilaczvili, отметил решением комментарий Александр Александрович

Answer 3

[dollar]

Сделайте скрипт, который анализирует разметку время от времени, находит там несоответствия, и затем отправляет всю разметку и её содержимое вам обратно, а также прочие интересные данные, которые помогут в поисках.

Война вредоносного в защитного ПО - это война снаряда и брони; то есть эта война бесконечна, какие бы мотивы ни стояли в её основе. Так что если вы оказались втянуты в неё, придётся воевать в полную силу.

Comments

[Сергей Соколов]

всегда в одном месте и всегда одинаково

Можно добавить MutationObserver на те узлы, где появляется надпись, раз всегда в одном и том же месте.

Answer 4

[Николай Савельев]

Если сайт на HTTP, и без HTTPS, то это легко делается в точке подключения, либо со стороны провайдера.
Некоторые опсосы такое делали со своими интернет-пользователями, которые юзали незащищённые HTTP-сайты

Comments

[Вадим]

Ну там рекламу вставляли, а тут что-то явно другое

[Николай Савельев]

Вадим, тут скрипт вставляется, а это суть одно и то же - изменение контента

[Вадим]

Николай Савельев, мм, ну нет. Тут судя по всему не докидывается что-то зловредное, а одна из зависимостей, которая используется в проекте - стала зловредной.

[Николай Савельев]

Вадим, кстати, лет пять назад на хабре была хорошая статья про это. Надо будет поискать...
Как раз про зависимость от зависимостей и что там возможны подмены

Answer 5

[alekssamos]

*Почитайте это*