Исследователи кибербезопасности обнаружили масштабную вредоносную кампанию, в которой злоумышленники превратили популярные браузерные расширения для Chrome и Microsoft Edge в скрытую шпионскую инфраструктуру. Инфицированные расширения выглядели как обычные утилиты, многие из них были популярны годами, но в 2024 году получили обновления с вредоносным кодом.
По данным компании Koi, к кампании причастна китайская группировка ShadyPanda — давно известный хакерский синдикат, активно работающий как минимум с 2018 года. Исследователи обнаружили сразу два отдельных набора расширений, которые злоумышленники превратили в инструменты слежки.
Как это работало
Первая группа включала минимум пять расширений, которые в течение примерно пяти лет работали без нареканий. Одно из самых известных — Clean Master, утилита для очистки кеша. Она собрала более 200 тысяч установок и даже получила статусы Featured и Verified в Chrome Web Store, прежде чем Google удалил её.
Вторая волна атак охватила ещё пять расширений, включая популярный менеджер вкладок WeTab — его установили свыше трёх миллионов раз. В сумме обе группы насчитали более четырёх миллионов пользователей по всему миру. При этом все пять расширений из второй операции до сих пор доступны в каталоге Microsoft Edge Add-ons.
Злоумышленники внедрили вредоносный код в 2024 году. После обновления расширения превращались в полноценный шпионский инструмент, тайно собирая данные о действиях пользователей в браузере и отправляя их на внешние серверы в Китае — причём в реальном времени.
Принцип действия вредоносных обновлений
Как поясняют специалисты, заражённые расширения работали как единый каркас для удалённого исполнения кода. Фактически злоумышленники могли автоматически загружать и запускать внутри браузера сторонний JavaScript без ведома пользователя. По оценкам, заражено более 4,3 миллиона устройств.
Все идентификаторы вредоносных расширений Koi опубликовала в открытом доступе. Пользователям настоятельно рекомендуют проверить свои браузеры.
Как защититься
Чтобы удалить подозрительное расширение:
- Откройте Chrome или Edge.
- Перейдите по адресу chrome://extensions/ или edge://extensions/.
- Включите режим разработчика — так вы увидите ID каждого установленного расширения.
- Сравните список ID с опубликованным исследователями.
- Если обнаружите совпадение, нажмите Remove и подтвердите удаление.
Исследователи отмечают, что ShadyPanda смогла распространить вредоносные обновления столь легко из-за неполной проверки обновлений в Chrome Web Store: новые расширения проходят строгий аудит, а вот обновления существующих — нет.
Инцидент наглядно демонстрирует: даже проверенные расширения, годами живущие в официальных магазинах, не гарантируют безопасность. Для пользователей это ещё одно напоминание о том, насколько уязвимыми могут быть цепочки поставки ПО — особенно там, где речь идёт о неконтролируемых обновлениях.
