Расширения для Chrome под видом полезных инструментов воруют переписки с нейросетями

information security

С каждым месяцем искусственный интеллект всё глубже входит в повседневную рутину миллионов людей. Мы доверяем нейросетям рабочие задачи, личные размышления, медицинские данные и коммерческую тайну. Однако инструменты, призванные упростить работу с ИИ, всё чаще становятся ловушкой. Согласно статистике Chrome за март 2026 года, расширения браузера, связанные с искусственным интеллектом, уже насчитывают около 115 миллионов установок. За этой цифрой скрывается тревожная тенденция: значительная часть таких надстроек лишь маскируется под полезные утилиты, а на деле активно перехватывает и отправляет злоумышленникам содержимое диалогов с нейросетями.

Описание

Проблема приобрела масштабный характер. Пользователи часто делятся с чат-ботами глубоко личной информацией - от медицинских заключений до конфиденциальных документов компании. Тот, кто получает доступ к этим перепискам, способен извлечь из них компрометирующие или финансово опасные данные. Особенно тревожно, что вредоносные расширения длительное время остаются в каталоге Chrome Web Store и имеют высокие рейтинги, что усыпляет бдительность жертв.

Эксперты по информационной безопасности выявили три расширения, которые действуют по схожей схеме. Первое - Urban VPN. Оно позиционируется как бесплатный VPN-сервис, обещающий приватность и шифрование трафика, и получило 4,7 звезды в магазине Chrome. Однако начиная с версии 5.10.3 в него был встроен вредоносный скрипт content.js, который нацелен на сбор переписок с восемью популярными платформами: ChatGPT, Claude, Copilot, DeepSeek, Gemini, Grok, Meta AI и Perplexity. Независимо от того, подключён VPN или нет, скрипт работает в фоновом режиме, проверяет посещение этих сайтов и внедряет исполняемый код, перехватывающий сетевые запросы между пользователем и нейросетью.

Второе расширение - Smart Sidebar: ChatGPT, Claude & DeepSeek. Оно заявляет, что служит универсальным ассистентом для улучшения работы с браузером, и набрало более 400 тысяч пользователей с рейтингом 4,6 звезды. В версии 1.9.6 оно содержит скрипт aiResponder.js, который отслеживает, заходит ли пользователь на страницы, содержащие в адресе слова chatgpt или deepseek. Скрипт использует DOM-наблюдатель (метод отслеживания изменений в структуре веб-страницы), чтобы дождаться полной загрузки ответа нейросети, затем извлекает последние сообщения пользователя и ответ бота, кодирует их и сохраняет. После этого расширение отправляет собранные данные на удалённый сервер hxxps://deepaichats[.]com/ext/aimodel. При анализе содержимого запроса выяснилось, что передаётся уникальный идентификатор беседы, текст диалога и временная метка в формате Base64 (способ кодировки для безопасной передачи бинарных данных через текстовые протоколы). Отчёт независимых исследователей подтверждает, что в расширении также обнаружены поддельные политики конфиденциальности, ведущие на сайт, который уже помечен десятками антивирусных вендоров как опасный.

Третье расширение - AI Assistant, которое в последних версиях переименовано в Chat AI. Его установили более 70 тысяч человек, а в магазине Chrome оно носит значок "Рекомендуемое", что подразумевает тщательную проверку командой Google. Тем не менее версия 3.3.4 содержит скрипт index.js, построенный на библиотеке React. Он внедряет удалённый чат-интерфейс через фрейм iframe (элемент для встраивания одной веб-страницы в другую). Расширение считывает настройки пользователя (язык, тему, имя) из локального хранилища браузера и отправляет их на недавно зарегистрированный URL-адрес. Через механизм postMessage (протокол обмена данными между разными частями веб-страницы) оно получает команды на сохранение данных и даже поддерживает заглушку для голосовых действий, что может быть использовано в будущих атаках.

Такая активность показывает, что угроза не ограничивается единичным инцидентом: злоумышленники массово штампуют расширения, копирующие поведение друг друга. Их объединяет одна цель - перехватывать ценные диалоги с нейросетями, которые пользователи по наивности считают приватными. Причём вредоносные функции зачастую реализованы так, что не мешают работе самого расширения, поэтому жертвы долгое время не подозревают об утечке.

Что же делать пользователям? Прежде всего стоит установить правило: не доверять расширениям, которые запрашивают доступ к содержимому всех сайтов, если их заявленная функция этого не требует. Например, VPN-расширение не должно читать переписки с ChatGPT - это явный признак вредоносного кода. Регулярно проверяйте список установленных расширений и удаляйте те, которыми давно не пользуетесь. Чем больше надстроек, тем шире поверхность атаки. Кроме того, в организациях администраторы могут настроить групповые политики, запрещающие установку непроверенных расширений. И, наконец, никогда не делитесь по-настоящему секретной или личной информацией в диалогах с нейросетями - даже официальные приложения могут хранить историю и использовать её для обучения, а уж поддельные расширения гарантируют утечку.

Появление этих расширений - ещё одно напоминание о том, что индустрия кибербезопасности вынуждена гнаться за стремительным ростом популярности ИИ-инструментов. Производителям браузеров и маркетплейсам приложений стоит серьёзно пересмотреть процедуры проверки надстроек. Пока же ответственность за сохранность переписок с нейросетями во многом лежит на самих пользователях. Осмотрительность при установке, минимально необходимые разрешения и отказ от передачи конфиденциальных данных в чат-боты - вот те простые, но надёжные меры, которые помогут избежать неприятных последствий.

Индикаторы компрометации

SHA256

  • 524c953e23ff8b768206cf33a529c11ac5510e47cbf6246db79ee671d1231716
  • c984787ccd787629542da68302ed4ceb48fc7e458eab1c15bf45c3070883d26a
  • f8cbe44fde6914bc8d06426c03c92ed536c891470292e567a586b54af29c2442

Extension

  • eppiocemhmnlbhjplcgkofciiegomcon
  • fnmihdojmnkclgjpcoonokmkhjpjechg

Комментарии: 0