Популярные расширения Chrome, включая блокировщики, взломали. Узнайте, как защитить себя

В феврале 2025 года команда GitLab Threat Intelligence обнаружила по меньшей мере 16 вредоносных расширений Chrome, затронувших более 3,2 миллиона пользователей. Эти расширения были от проверенных разработчиков, устанавливались через официальные магазины браузера, но затем были повреждены вредоносными «обновлениями».

В ходе расследования было установлено, что эта атака исходила от взломанных аккаунтов разработчиков. Одни разработчики прекратили поддержку своих расширений, потеряв контроль над ними, а другие, всё ещё отвечающие за них, скорее всего, были обмануты с помощью фишинговых схем.

Во вредоносных обновлениях в расширения добавлялись скрытые скрипты, которые тайно похищали данные, изменяли веб-запросы и внедряли рекламу на сайты. Эти изменения в основном оставались незамеченными пользователями — ведь они уже предоставили необходимые разрешения, что позволяло злоумышленникам беспрепятственно манипулировать веб-контентом и взаимодействием с пользователями.

Каким рискам подвергаются пользователи?

Неизвестно, какой ущерб был нанесён этой конкретной вредоносной кампанией, но такие разрешения, как «доступ к хосту» и «управление скриптами», представляют значительный риск. Они позволяют извлекать конфиденциальную информацию, включая данные банковских карт, учётные данные для входа в систему, токены аутентификации и файлы cookie — потенциально злоумышленники могут получить контроль над учётными записями пользователей или доступ к личным сообщениям.

Расширения также могут изменять содержимое веб-страниц в режиме реального времени, создавая возможности для мошенничества, например, изменять данные о транзакциях на банковских сайтах, чтобы ввести пользователей в заблуждение. Кроме того, злоумышленники могут внедрять рекламу, перенаправлять пользователей на фишинговые сайты или генерировать фальшивые клики для получения прибыли от рекламы.

Пользователи затронутых расширений оставили в интернет-магазине Chrome множество комментариев, свидетельствующих о том, что расширения в какой-то момент оказались скомпрометированы. Среди прочего, пользователи заметили странное размещение рекламы, добавление партнёрских идентификаторов в служебные ссылки, а также проблемы с console.log — встроенной функцией, используемой для отладки и анализа кода:

Источник: GitLab Security Tech Notes

Блокировщики рекламы и вопрос доверия

Всего было взломано 16 расширений, но мы обратили внимание на то, что три из них были блокировщиками рекламы (Adblocker for Chrome — NoAds, Adblock for You и Adblock for Chrome).

Мы сами — разработчики блокировщика, и, конечно, этот факт нас особенно беспокоит. Пять лет назад мы разоблачили «поддельные» расширения для блокировки рекламы, занимающиеся подменой куки (cookie stuffing) для рекламного мошенничества. Расширения, управляемые удалённо, незаметно внедряли партнёрские куки в браузеры пользователей. Некоторые из этих расширений были так называемыми «бомбами замедленного действия», готовыми к более вредоносным действиям после получения дальнейшей команды с удалённого сервера. Вывод напрашивается: очень важно выбрать надёжное решение для блокировки рекламы, последствия неправильного выбора могут быть серьёзными.

В данном случае разработчики расширений не имели злого умысла. Изначально их расширения были безопасными, но затем были скомпрометированы злоумышленниками. Тем не менее, в качестве общей меры предосторожности мы ещё раз рекомендуем следовать этим рекомендациям:

• Устанавливайте расширения только из надёжных источников, таких как официальные магазины или проверенные сайты
• Изучите разработчика перед установкой
• Ознакомьтесь с политикой конфиденциальности, чтобы понять, как используются данные
• Будьте осторожны при выдаче разрешений, особенно если расширение запрашивает чрезмерный доступ
• Регулярно удаляйте расширения, которые больше не используете, чтобы свести к минимуму риск вредоносных обновлений

Пользователи часто предоставляют разрешения, не понимая их последствий, особенно если расширение кажется полезным или авторитетным. После предоставления эти разрешения остаются в силе до тех пор, пока расширение не будет удалено, что позволяет злоумышленникам использовать их в течение длительного времени. И поскольку расширения обновляются автоматически, злоумышленники могут впоследствии внедрить вредоносные обновления, поставив под угрозу безопасность пользователя.

16 расширений уже удалены из магазина Chrome, но пользователям также следует удалить их со своих устройств и сохранять бдительность, чтобы обезопасить себя от подобных инцидентов в будущем.

О том, как определить, каким приложениям и расширениям можно доверять, читайте в этом выпуске нашей рубрики ТехТок.