最近在用 Chrome 開網頁的時候，常常看到網址列上先出現一個 https://coolbar.pro 的網址，

接著會再重新導向回原本要開的網頁，看起來相當的詭異…

這件事情通常會發生在開啟一個還沒連過的網頁上面，

如果已經連過的話，就比較不會看到 coolbar.pro…

決定來研究一下這個問題～

先開啟 Chrome 的 Developer Tools，再隨便開一個新的網頁 (如 www.test.com)，

在 Network 分頁果然看到了可疑的活動，

Chrome 會想要去連 https://coolbar.pro/tracker，後面還帶了我要連的網站：

這下面還會連到一個 xlog.info 網站，會把我原本要連的網址，和網址的相關資訊都送上去，

從名稱看起來，完全是在偷偷記錄使用者的瀏覽歷程：

上網查了一下，有人也提出了類似的問題，

而且有人已經指出是 Tab Manager 這個 Chrome extension 造成的～

(Tab Manager 我有安裝，之前有介紹過)

似乎是原本的作者把 Tab Manager 在 Chrome Web Store 的空間，

賣給了別人，而這別人後來放了惡意軟體上去，

因此有裝 Tab Manager 的人更新之後，就會自動變成有惡意軟體的版本…

作者雖然有辯解了一下，說安裝新的 Tab Manager 更新時，

會提示使用者權限的改變，但根本不會有人去注意這種改變，都是直接按下接受…

作者後來將 Tab Manager 搬到 GitHub 上，但後來也關掉了 (大概是承受不了壓力)，

Tab Manager 這個 Chrome extension 也被下架了：

在移掉 Tab Manager 之前，可以先來確認這些行為是不是真的是它造成的～

先用 python 跑一個很簡單的 HTTP server：

python -m SimpleHTTPServer 8001

再用 Chrome 連 http://localhost:8001，因為這是個非常簡單的網站，

理論上只會有一個連到 localhost 的連線，其他多的連線應該都是可疑的～

看了一下，Chrome 首先讀入了 tab_manager.js，

接著去載入 cmp16.js (就是在 coolbar.pro 網站上的)，下面有一連串的 js 檔案的載入，

其中 adv_out.js 還被我的 uBlock 這個擋廣告軟體擋掉了，

最後就是將資訊上傳到 xlog.info：

到 chrome://extensions 將 Tab Manager 的 Enabled 勾勾拿掉，

再瀏覽網站一次～這次的連線就非常乾淨，

可以證明是 Tab Manager 這個 extension 造成了惡意的連線：

有興趣研究一下這個被換過的 Tab Manager 的話，

可以在還沒移掉之前，到這個 extension 的目錄 (下面是 Mac 上的目錄)：

~/Library/Application Support/Google/Chrome/Default/Extensions/coonecdghnepgiblpccbbihiahajndda/4.3.4_0

稍微瞄一下，裡面蠻多 coolbar 的字眼，

另外 manifest.json 裡的權限設定還用了詭異的 \u003Call_urls>，

其實就代表 <all_urls>，故意用那怪異的寫法，應該是想避開一些偵測：

"permissions": [ "\u003Call_urls>", "tabs", "storage" ]

既然已經確認 Tab Manager 現在變成惡意軟體了，

就不用客氣，直接移除了吧～

有人在 GitHub 上建立了新的 Tab Manager，說是還沒修改前的版本，

不過現在我也很少用到 Tab Manager 的功能，就先移掉就好囉～

參考資料：

Chrome/ Opera: How to trace and single out this Malware in Browser Extensions? caused by Tab Manager

Where to find extensions installed folder for Google Chrome on Mac?