Chrome拡張のTab Managerを入れているとリンク先が”coolbar.pro”経由になる。

Tab Manager – Chrome Web Store
Hitting collapse comment icon button is redirecting to crvick.com : help

表題そのまんまなのですが、日本だと全然話題になってないなぁ、と思いました。なぜなら私も今さっき気づいたからです。お恥ずかしい限り。
Tab Managerを使用していると、リンククリック時にJavaScriptでインジェクトが発生して、「coolbar.pro」もしくは「crvlck.com」にリダイレクトされます。reddit.comの説明がわかりやすいのでそこを参照してください。

aタグに編集が入るわけじゃないので、普通にブラウジングしてたら気づかないです。多分拡張が原因かと思って、かたっぱしから拡張調べたら犯人はこいつでした。最初coolbarでjs内にgrepかけたのに見つからなくてうがーってなりました。eula.htmlとかにはCoolbarのこと書いてますね。
スクリプトざっとみたのですが、reddit.comの投稿にもあるようにどうやって埋め込んでるのかわからなかったので、もう少し調べてみたいと思います、

githubのリポジトリは消しちゃったみたいですね。困ったなぁ。

追記

How to trace and single out this Malware in Browser Extensions? Chrome/ Opera? – Information Security Stack Exchange

The Extension “Tab Manager” was sold to a malicious 3rd party and users were not notified in any fashion by the original dev.

これ本当なのかな…。

追記

ちょっとだけ調査したけど結局わからなかったよ、という話を書きました。
ちょっとだけ調査したけどわからなかった話。

仕込んでた方法がわかったので記事を書きました。
マルウェア化コードを仕込んだ方法がわかった話。