«Спящие» расширения браузеров пробудились в виде шпионского ПО на 4 миллионах устройств

Специалисты обнаружили пять расширений, которые годами функционировали легально, а в середине 2024 года были «вооружены» вредоносными обновлениями. Разработчики методично зарабатывали доверие, накапливали миллионы установок и даже получали статус «Рекомендуемых» или «Проверенных» в официальных магазинах Chrome Web Store и Microsoft Edge Add-ons. Затем они выпустили тихие обновления, превратив эти безобидные дополнения в полноценное шпионское ПО (spyware) и вредоносные программы (malware).

После обновления расширения стали выполнять роль фреймворка для удалённого выполнения кода (Remote Code Execution framework). Они получили возможность загружать и запускать произвольный вредоносный JavaScript-код (полезную нагрузку, payload) непосредственно в браузере, а также собирать информацию о посещаемых сайтах и конфигурации браузера. Все собранные данные отправлялись на серверы злоумышленников, которых исследователи связывают с Китаем.

Одним из самых распространённых расширений оказался WeTab для Edge с около 3 миллионами установок. В своей новой форме он действует как шпионское ПО, в реальном времени передавая посещаемые URL-адреса, поисковые запросы и другие данные. Примечательно, что, хотя Google уже удалила опасные расширения из своего магазина, их версии на момент публикации новости всё ещё доступны в магазине Edge.

Длительная «спячка» перед атакой нетипична для киберпреступников, которые обычно стремятся к быстрой выгоде. Исследователи приписали эту кампанию группе ShadyPanda, активной с 2018 года. Их первая известная кампания в 2023 году была проще и заключалась в мошенничестве с партнёрскими ссылками, когда в клики пользователей незаметно встраивались отслеживающие коды. Однако из того опыта группа извлекла ключевой урок: можно безнаказанно распространять вредоносные обновления для уже существующих расширений. Дело в том, что Google тщательно проверяет новые дополнения, но автоматические обновления к ним не получают столь же пристального внимания.

Подобная тактика использования «спящих агентов» (sleeper agents) - легитимных расширений, которые годами ждут своего часа, - наблюдалась и ранее, но столь долгий период ожидания является исключительным. Новая кампания представляет собой качественно более серьёзную угрозу. Каждый заражённый браузер получает полноценный механизм удалённого выполнения команд. Каждый час расширение связывается с командным сервером по адресу api.extensionplay[.]com, проверяет новые инструкции, загружает произвольный JavaScript-код и выполняет его, имея полный доступ к API браузера.

Для проверки наличия опасных расширений вручную исследователи из компании Koi опубликовали список их идентификаторов (ID). Пользователи могут проверить свои браузеры. В Chrome для этого нужно перейти на страницу "chrome://extensions/", включить «Режим разработчика» и через поиск (Ctrl+F) проверить наличие подозрительных ID, например, "eagiakjmjnblliacokhcalebgnhellfi". В Microsoft Edge, основанном на Chromium, процедура аналогична, но начать нужно со страницы "edge://extensions/". Обнаруженные вредоносные расширения следует немедленно удалить.

Эта история служит жёстким напоминанием о скрытых рисках, связанных даже с проверенными и популярными браузерными расширениями. Она демонстрирует уязвимость модели автоматических обновлений и необходимость для магазинов приложений усиливать контроль не только за новыми, но и за обновляемыми дополнениями, особенно теми, что имеют массовую аудиторию. Для пользователей лучшей защитой остаётся принцип минимализма: устанавливать только самые необходимые расширения от максимально доверенных разработчиков и периодически пересматривать их список.

Domains

• api.extensionplay.com

Extensions ID

• eagiakjmjnblliacokhcalebgnhellfi