Исследователи в области информационной безопасности раскрыли масштабную скоординированную кампанию, в ходе которой множественные безобидные расширения для браузера Google Chrome были превращены в инструменты для удалённого внедрения вредоносного контента. Первоначально эти дополнения выполняли обычные функции, но после скрытой модификации они стали периодически загружать конфигурационные файлы с управляемых злоумышленниками доменов. Эта схема позволяет динамически переписывать содержимое веб-страниц, подменять формы и внедрять произвольный HTML-код без необходимости обновления через официальный магазин Chrome Web Store. Более того, анализ показывает, что вредоносная функциональность активировалась сразу после передачи прав собственности на расширения, что свидетельствует о целенаправленной и подготовленной операции.
Описание
Технический анализ выявил общий механизм работы всех скомпрометированных расширений. Каждое из них, вне зависимости от заявленного назначения, содержало скрытый код, который каждые 5 минут опрашивал удалённый сервер. В ответ сервер отправлял файл конфигурации, содержащий инструкции для манипуляций на стороне клиента. Эти инструкции включали правила, определяющие целевые сайты, элементы DOM (объектной модели документа) для изменения и удалённые ресурсы с кодом для внедрения. Такой подход создаёт внутри браузера полноценный канал командного управления (C2, Command-and-Control), позволяющий злоумышленникам мгновенно менять поведение расширения.
Ключевым элементом атаки является механизм динамического внедрения в DOM. Полученные с сервера правила предписывают расширению найти на посещаемой пользователем странице определённые элементы, например, поля ввода или блоки контента, и заменить их содержимое на данные с контролируемого злоумышленниками ресурса. Это позволяет удалённо подменять формы входа, вставлять фишинговые окна, изменять страницы интернет-банкинга или онлайн-магазинов, а также внедрять рекламу и средства слежения. Для обеспечения устойчивости (persistence) манипуляций расширения используют объект MutationObserver, который непрерывно отслеживает изменения на странице и повторно применяет вредоносные правки, делая их скрытыми и необратимыми со стороны сайта.
Анализ инфраструктуры подтвердил координированный характер кампании. Исследование метаданных Chrome Web Store выявило чёткую закономерность: расширения вели себя добросовестно до момента смены владельца, после чего практически сразу получали обновления со встроенным вредоносным кодом. Параллельно анализ WHOIS-записей показал, что домены, используемые для командного управления, регистрировались за несколько дней или недель до публикации зловредных обновлений. Такая временная связь указывает на преднамеренную подготовку инфраструктуры. Кроме того, сравнение чистых и скомпрометированных версий расширения демонстрирует явную точку перехода: в новых версиях появляется цикл удалённого опроса, движок для внедрения на основе правил и механизмы сбора телеметрии.
Сходство кодовой базы across различных расширений поразительно. Идентичные интервалы опроса, логика разбора конфигураций, наименования полей в правилах и шаблоны обработки ошибок свидетельствуют об использовании общего инструментария или услуги по превращению легитимных дополнений в вредоносные. Это указывает на деятельность единой угрозы (Threat Actor) или криминального сервиса, предлагающего готовые решения для компрометации расширений. Указанная схема не является единичным инцидентом, что подтверждает эскалация кампании в декабре 2025 года.
В ходе мониторинга в декабре исследователи обнаружили новую волну атак, где расширения, опубликованные теми же авторами, были преобразованы в агрессивное рекламное ПО (adware). Их вредоносная функциональность эволюционировала: теперь удалённая конфигурация предписывает показывать на посещаемых сайтах поддельные уведомления с требованием «верификации». После нажатия кнопки пользователь перенаправляется по цепочке страниц, где в фоновом режиме происходит сбор цифрового отпечатка устройства и браузера, а затем запрашиваются разрешения на показ уведомлений. После получения разрешений злоумышленники получают возможность постоянно демонстрировать жертве навязчивую рекламу, превращая браузер в платформу для пассивного дохода.
В заключение, представленные данные демонстрируют не разрозненные инциденты, а целостную, развивающуюся кампанию по распространению модульного фреймворка для манипуляции браузером. Основная опасность заключается в использовании легитимного механизма обновлений расширений и удалённого управления, что позволяет обходить статические проверки магазина приложений. Такие кампании подчёркивают значительное слепое пятно в текущих моделях безопасности, которое связано с отсутствием эффективного мониторинга поведения расширений после их публикации и, особенно, после смены владельца.
Индикаторы компрометации
Domains
- blookethackerpro.vercel.app
- brightlogicassets.com
- cascadepointassets.com
- editanything3xmetoda.vercel.app
- getxmlppa.com
- hpext-9udj.vercel.app
- interactive-fics.vercel.app
- kahoot-ten-gamma.vercel.app
- lightwaveassets.com
- safecloudassets.com
- syncxmlvyt.com
- themeassets.site
Emails
- c9351683@gmail.com
- extpool2025@gmail.com
- john24234234222@gmail.com
- mark23746732677@gmail.com
- mrek353ser@gmail.com
- mustwsko35@gmail.com
- paperpanda2024@gmail.com
- paul2372732987@gmail.com
- t25695268@gmail.com
- tom252266@gmail.com
- vytalextension@gmail.com
Extension IDs
- cehifnkfcddaeppdajpfldbpommggaca
- eekibodjacokkihmicbjgdpdfhkjemlf
- eggegjdejilddmnlglakcaigefefcdaf
- ggjlkinaanncojaippgbndimlhcdlohf
- gmmhcbmmnclgmmjimiiefhiagmpamdlb
- ijhbioflmfpgfmgapjnojopobfncdeif
- jleonlfcaijhkgejhhjfjinedgficgaj
- jnkmepoonohhfijlbajdphhinhkoefjn
- kbaofbaehfbehifbkhplkifihabcicoi
- ncbknoohfjmcfneopnfkapmkblaenokb
- nimnhhcainjoacphlmhbkodofenjgobh
- ooobfpifjkgeopllkalfgkbiefhooggl
- pgfjnclkpdmocilijgalomiaokgjejdm
