Популярное расширение Chrome ModHeader оказалось шпионским инструментом с зашифрованным сбором истории браузера

information security

Команда Stripe OLT SOC (центра мониторинга и реагирования на инциденты Stripe) обнаружила, что одно из самых популярных расширений для разработчиков в Chrome Web Store - ModHeader (изменение HTTP-заголовков) - содержит скрытый модуль сбора истории просмотров. Анализ версии 7.0.18, которая на момент проверки 6 июля 2026 года была доступна для установки и имела около 900 000 пользователей, выявил полную инфраструктуру для сбора, шифрования и возможной передачи посещённых доменов на внешний сервер. После ответственного уведомления Google удалил расширение из магазина 10 июля, но на устройствах, где оно уже установлено, риск остаётся.

Описание

Масштаб проблемы заключается не только в количестве установок. ModHeader нацелен на разработчиков, инженеров по качеству и администраторов, которые работают с внутренними панелями управления, CI/CD-системами, облачными консолями и другими чувствительными сервисами. Даже в текущем состоянии, когда активная передача данных заблокирована пустым списком разрешённых браузеров, вся инфраструктура для сбора уже присутствует и может быть включена бесшумным обновлением расширения без запроса дополнительных разрешений.

Технический анализ показал, что вредоносный код находится в сервис-воркере (фоновом скрипте расширения) и тесно переплетён с легитимными функциями. При первом запуске расширение генерирует уникальный идентификатор устройства на основе SHA-256 от временной метки и сохраняет его в локальной базе данных IndexedDB вместе со случайно сгенерированным вектором инициализации для AES-GCM. Зашифрованный ключ жёстко прописан в коде расширения. Каждый раз, когда пользователь открывает новую вкладку, расширение извлекает домен из URL, шифрует его и накапливает в хранилище "temp". Максимальное количество отслеживаемых доменов - 1000. После этого планировщик, срабатывающий примерно раз в сутки со случайной задержкой (привязанной к отпечатку устройства), должен отправлять зашифрованные данные методом POST на адрес "https://api.stanfordstudies[.]com/app/log". В текущей версии проверка на белый список браузеров всегда возвращает "false", поскольку список пуст, поэтому передача не происходит. Однако ключ, эндпоинт, код коллектора и шифровальщик полностью работоспособны.

Помимо дремлющего сборщика истории, расширение уже активно передаёт телеметрию об установке, обновлении и удалении на домен "extensions-hub[.]com". В отчёте Stripe OLT SOC подчёркивается, что во время анализа в локальных хранилищах были найдены незашифрованные записи о реальных запросах (рекламные и аналитические сервисы), что доказывает исполнение кода, а не просто его наличие.

Верификация того, что данное расширение является именно подлинной версией из Chrome Web Store, была проведена с использованием подписи Google. Файл "_metadata/verified_contents.json" содержит дерево хешей, подписанное как издателем, так и ключом магазина. Для всех исполняемых файлов, включая сервис-воркер, вычисленный хеш совпал с подписанным. Это исключает версию о подделке и доказывает, что шпионский код распространялся именно через официальный магазин.

Инфраструктура, стоящая за расширением, не является разовым ресурсом. Домен "stanfordstudies[.]com", несмотря на название, не связан со Стэнфордским университетом - он приобретён на вторичном рынке. Его поддомены "api", "devos" и "devlog" обслуживаются через AWS-балансировщик в регионе us-east-2. "devos.stanfordstudies[.]com" раскрывает информационную панель OpenSearch версии 2.17.1, что указывает на базу данных для массового хранения полученной от расширений телеметрии. Домен "extensions-hub[.]com" зарегистрирован в 2024 году и использует CloudFront и Mailgun; его поддомен "api" загружает список рекламных партнёров. Примечательно, что на момент анализа оба домена "api.extensions-hub[.]com" и "api.stanfordstudies[.]com" разрешались в один и тот же IP-адрес 3.147.61[.]167 (AWS us-east-2).

Такая схема соответствует описанному ещё в 2021 году феномену выкупа популярных расширений с последующим превращением их в каналы сбора данных и рекламы. Публичные жалобы пользователей на ModHeader начались ещё в 2023 году: на Hacker News обсуждалось внедрение рекламы в результаты поиска Google и Bing, а также возможное использование пользователей в качестве прокси для мошенничества с рекламой. В 2024 году была развёрнута инфраструктура Stanfordstudies с OpenSearch, а к 2026 году расширение получило полноценный, хоть и временно выключенный, сборщик истории.

Автоматические сканеры безопасности в момент анализа оценивали расширение как низкорисковое (до 95 баллов из 100). Это объясняется тем, что данные шифруются, трафик на внешние домены в песочнице не генерируется из-за пустого белого списка, вредоносный код минифицирован и смешан с большим легитимным кодом, а домены не имеют негативной репутации. Подпись магазина и популярность также служат ложными сигналами безопасности.

Основная угроза для организаций - потенциальная утечка перечня посещаемых доменов, что позволяет злоумышленнику составить карту внутренних приложений, VPN-порталов, облачных консолей и поставщиков. Разработчики и администраторы, которые активно используют ModHeader, особенно уязвимы: их браузер содержит URL с токенами доступа, ссылками на staging-окружения и панели управления. Даже при текущем неактивном состоянии сборщика, расширение можно изменить фоновым обновлением, не привлекая внимания пользователя.

После удаления расширения из Chrome Web Store новые установки невозможны, но уже установленные копии продолжают работать. Рекомендуется удалить расширение, очистить данные браузера (особенно IndexedDB-хранилища), а в корпоративных средах выполнить поиск по индикаторам компрометации - обращение к "api.stanfordstudies[.]com/app/log" и "extensions-hub[.]com/partners/", а также присутствие идентификатора расширения "idgpnmonknjnojddfkpgkljpfnnfcklj". Для долгосрочной защиты следует перевести управляемые браузеры на модель deny-by-default, разрешая только проверенные идентификаторы расширений, и ограничить расширения с доступом ко всем URL.

Данный инцидент демонстрирует, что популярность, подпись издателя и размещение в официальном магазине подтверждают лишь происхождение, а не безопасность расширения. Каждое расширение с широкими правами должно рассматриваться как элемент цепочки поставок ПО и подлежать регулярной переоценке. В случае с ModHeader техническая возможность сбора данных существует уже сегодня - вопрос лишь в том, когда белый список перестанет быть пустым.

Индикаторы компрометации

IPv4

  • 3.147.61.167
  • 91.195.240.87

Domain

  • api.extensions-hub.com
  • api.stanfordstudies.com
  • dev-lb-672858631.us-east-2.elb.amazonaws.com
  • devlog.stanfordstudies.com
  • devos.stanfordstudies.com
  • extensions-hub.com
  • stanfordstudies.com

URL

  • https://api.stanfordstudies.com/app/log
  • https://www.extensions-hub.com/partners/

Extension ID

  • idgpnmonknjnojddfkpgkljpfnnfcklj

Комментарии: 0