这个60万人在用的 Chrome 扩展出事了

如果你用 Chrome 浏览器，那肯定多多少少都会安装几个扩展，毕竟我这么多年来都不知道安利了多少个好用的扩展，你要是不用几个，那岂不是太不给面子了。

但是最近上网冲浪的时候，发现了一个关于 Chrome 扩展的重磅新闻，那就是某个有 60W 用户的 Chrome 扩展存在恶意代码。

倒霉的是，我也在用这个扩展，不排除小伙伴们中也会有人在使用，所以非常有必要告知给大家。

SuperCopy 超级复制

这个扩展就是 SuperCopy 超級复制，它的主要功能是在禁止复制、禁止右键、禁止选择的网页，可以实现一键复制，一键粘贴，一键选择，启用右键，启用复制，启用选择，启用粘贴。

另外要注意它还是 Chrome 扩展商店精选商品。

那 SuperCopy 超級复制存在恶意代码是怎样被发现的呢？最先是 V2EX 上一位网友 @XiaoqiDev 十来天前发布的贴子揭露的。

据他介绍自己偶尔会在电脑上使用京东联盟自己邀请下单，这个正常，我平时在网上购物也会通过返利平台来薅点羊毛。

但他发现最近有一些订单没有拿到返利，不过当使用 Chrome 访问京东商品详情页时，已打开的第一个标签页的会自动跳转然后跳回之前的页面。

于是他逐一排查了所有安装的扩展，确定是 SuperCopy 超级复制搞的鬼。

经测试，当浏览器已经打开的标签页大于 3 个时，访问京东任意商品详情页，该扩展会发起一个请求，该请求返回一个链接，此时浏览器中第一个标签页会跳转到该链接，该链接跳转到京东联盟返利链接，访问完成之后再跳转回该标签页之前打开的链接，下单用户最后一次打开的是谁的返利链接，京东就会返利给谁。

简单总结，就是当用户在电脑浏览器上访问京东等购物网站时，SuperCopy 超级复制会自动访问它自己的返利站点，再生成链接并替换掉用户打开的链接，这种劫持流量的行为就是赤裸裸的流氓行为。

这样的行为也违反了电商网站的返利规则，在@XiaoqiDev 帖子的下方，有相关电商员工和他联系准备深入调查这件事。

除了劫持流量，帖子下面还有网友反馈这个插件重写 console.log ，导致所有控制台打印都失效。

这个反馈在 Chrome 商店中 SuperCopy 超级复制主页的评论区也得到了验证，评论区前排都是网友关于这两方面劣迹的吐槽。

看到这么多网友的吐槽，SuperCopy 超级复制恶意代码劫持流量和重写 console.log 算是实锤了。

更令我不理解的是，SuperCopy 超级复制直到现在还挂着 Chrome 扩展商店精选的背书，看来官方审核力度跟进还是不够。

Simple Allow Copy

当然我也知道一键破除网页禁止复制也是一大刚需，其实四年前就安利过一个类似的扩展 Simple Allow Copy ，安装之后把它的扩展图标点成彩色之后，就可以轻松复制任意网页上的文字了。

我现在也经常在用，还记得四年前用户只是 20 万+，现在已经 70 万+，论用户数量也是完爆 SuperCopy 超级复制，说明还是值得认可的。

推荐大家用这个来替换 SuperCopy。

结语

其实 SuperCopy 超级复制和上个月说 Edge 的问题是一个性质，都是明明手握巨大流量，却非要动歪心思干这龌龊的勾当。

挣钱这事不寒碜，但总得有个底线，这年头，在流量的裹挟下，用户数量一增多，有些就禁不起诱惑了。

所以还是尽量使用开源软件，毕竟那么多人盯着，好歹也算是有个约束，你说对吧。