最近突然发现访问 github.com 网站的时候会时不时自动跳转至 www.google.com ，仔细排查发现每次跳转都会访问一个 cristfind.com 域名，然后被302过去。 
打开F12观察发现这个域名调用没有来源堆栈，如图所示： 
 [db7cc287f6da61ded9c32d57630ea63] 
遂打开Charles抓包。发现只要Chrome打开新标签开始访问网站，就会向该域名发送一个log记录，如图： 
 [image] 
内容直接使用Base64解析如下： 
 [image] 
于是直接开始Chrome的扩展挨个关闭尝试，发现关闭了PDF Viewer - open in PDF Reader 0.0.9这个扩展后现象消失。 
找到该扩展的安装位置，发现7月22日有更新，正对应了上述域名whois里的注册时间： 
 [image] 
[image] 
查看其源码...