В Chrome Web Store обнаружены вредоносные расширения с десятками тысяч установок
Исследователи в сфере кибербезопасности выявили новую группу опасных расширений в официальном магазине Chrome Web Store. Совокупное число их установок превысило 100 тысяч — при этом программы способны похищать конфиденциальные данные пользователей, включая пароли и финансовую информацию.
Специалисты компании Symantec проанализировали механизмы работы угроз и обнаружили ряд скрытых методов воздействия. Вредоносные расширения осуществляют:
- несанкционированный доступ к буферу обмена;
- перехват поисковых запросов;
- удалённое выполнение кода;
- хищение сессионных данных.
Примечательно, что несмотря на существующие процедуры проверки Google, эти программы попали в официальный магазин и длительное время оставались доступными для загрузки. Ситуация подчёркивает сохраняющиеся уязвимости в системе верификации браузерных дополнений, даже с учётом внедрения нейросетевых алгоритмов для дополнительной проверки.
Среди выявленных угроз особое внимание привлекли несколько конкретных расширений:
Good Tab использует небезопасный HTTP‑iframe, предоставляя удалённому домену права на чтение и запись в буфер обмена пользователя. Эта уязвимость позволяет злоумышленникам не только похищать пароли, но и подменять адреса криптовалютных кошельков в момент проведения транзакций.
Children Protection (на момент обнаружения уже удалено из магазина) функционировало как полноценная система управления и контроля. Расширение применяло алгоритм генерации доменов для устойчивости к блокировкам серверов, собирало cookies браузера для перехвата сессий и выполняло произвольный JavaScript‑код с удалённого сервера.
DPS Websafe (также удалено) маскировалось под популярный блокировщик рекламы Adblock Plus, используя его иконку для введения пользователей в заблуждение. Программа отслеживала активность в браузере и перенаправляла поисковые запросы.
Stock Informer по‑прежнему доступно в Chrome Web Store. Расширение содержит критическую уязвимость межсайтового скриптинга (XSS): из‑за отсутствия проверки источника сообщений злоумышленники могут выполнять произвольный код.
Данный инцидент — не первый случай, когда вредоносные расширения проходят модерацию Google и попадают в официальный магазин. Он вновь актуализирует вопрос о надёжности механизмов проверки дополнений для браузера и необходимости усиления мер безопасности для защиты пользователей.
