18.04.2025
1 хв
546
Джон Такнер виявив 58 Chrome-розширень із прихованим шкідливим кодом, які були встановлені понад 6 мільйонів разів. Деякі з них навіть мали статус “Рекомендоване” у Chrome Web Store.
За словами Такнера, ці розширення маскувались під інструменти безпеки або утиліти — від купонних додатків до “антишпигунських” захисників. Насправді вони отримували надмірні дозволи та потай:
– зчитували cookies і токени;
– стежили за поведінкою користувачів;
– змінювали пошукові налаштування;
– виконували віддалений код.
Небезпека полягає в тому, що більшість із них були приховані в Chrome Web Store (unlisted), тобто доступні лише за прямими посиланнями – які поширювалися через фальшиві оновлення, спливаючі банери чи малвертайзинг.
Такнер та його команда з Obsidian Security виявили спільну кодову базу, обфускацію коду, схожі домени з помилками (*unknow[.]com*), а також можливість змінювати конфігурацію дистанційно. Це прямий доказ інфостілерського характеру цих плагінів.
Найбільш поширені зловмисні розширення:
Розширення для Chrome – це надбудови, які працюють у браузері й можуть отримати широкий доступ до вашої активності. Кожне з них має файл manifest.json, де визначено дозволи. Такнер відзначає, що 86 зі 100 найпопулярніших розширень запитують небезпечні дозволи, що відкриває двері для шпигунства.
Більшість користувачів не перевіряють дозволи під час встановлення, а позначка “Featured” у Chrome сприймається як гарантія надійності – навіть якщо розширення приховане.
Це масштабне розкриття ще раз нагадує: розширення можуть бути троянським конем прямо у вашому браузері.
