14.04.2026
1 хв
135
Дослідники кібербезпеки виявили масштабну кампанію з використанням 108 шкідливих розширень для Google Chrome, які викрадали облікові дані, історію переглядів і особисту інформацію користувачів. Загалом під загрозою опинилися щонайменше 20 тисяч людей.
Дослідники виявили масштабну кампанію зі шкідливими розширеннями для Google Chrome. Йдеться про 108 доповнень, які підключаються до однієї і тієї ж інфраструктури управління і використовуються для збору даних користувачів та маніпуляцій у браузері.
За інформацією компанії Socket, ці розширення публікувалися під різними іменами розробників. Серед них Yana Project, GameGen, SideGames, Rodeo Games і InterAlt. Загалом вони набрали близько 20 тисяч встановлень у Chrome Web Store, що дозволило їм досить широко розповсюдитися.
«Усі 108 перенаправляють викрадені облікові дані, ідентифікатори користувачів та дані перегляду на сервери, контрольовані одним оператором», зазначив дослідник безпеки Куш Пандья.
Функціональність цих розширень різна, але працюють вони за схожою логікою. Частина з них націлена на акаунти Google. Зокрема, 54 розширення викрадають дані через OAuth2. Ще 45 мають універсальний бекдор, який відкриває потрібні зловмиснику сторінки одразу після запуску браузера. Інші займаються різними видами втручання у роботу сайтів.
Серед їхніх можливостей:
періодичне виведення сесій Telegram кожні 15 секунд
видалення захисних заголовків на YouTube і TikTok та підміна контенту
вставка скриптів на всі сторінки, які відкриває користувач
проксування запитів перекладу через сервер зловмисників
Щоб не викликати підозр, ці розширення маскувалися під звичайні інструменти. Наприклад, під клієнти Telegram, браузерні ігри, покращувачі YouTube і TikTok або сервіси для перекладу тексту. Виглядали вони як звичайні утиліти, але фактично виконували зовсім інші задачі.
Після встановлення шкідливий код запускається у фоновому режимі. Він перехоплює сесії, вставляє довільні скрипти та відкриває сторінки за командою з серверу. Користувач при цьому нічого не помічає.
Дослідники також навели приклади окремих розширень. Наприклад, «Мультиакаунт Telegram» витягує токен user_auth і може підміняти сесію користувача, фактично підключаючи до акаунта сторонній доступ. Інше доповнення, Teleside, видаляє захисні механізми Telegram і вставляє скрипти для крадіжки сесій. А гра Formula Rush перехоплює дані Google-акаунта вже під час першого входу, включно з електронною поштою, ім’ям і ID користувача.
Окремо звернули увагу на технічні деталі. Частина розширень використовує API Chrome для видалення захисних заголовків сайтів ще до їх завантаження. При цьому всі 108 доповнень працюють через один і той самий сервер із IP-адресою 144.126.135[.]238.
Хто саме стоїть за цією кампанією, поки невідомо. Але аналіз коду показав, що в деяких розширеннях є коментарі російською мовою.
Користувачам, які могли встановити такі розширення, радять якнайшвидше їх видалити. Окремо рекомендується вийти з усіх активних сесій Telegram через мобільний додаток, щоб уникнути несанкціонованого доступу.
