Під час новорічних свят група дослідників виявила тривожний факт: принаймні 33 розширення для браузера Chrome, розміщені в офіційному Chrome Web Store, протягом місяців збирали конфіденційні дані із приблизно 2,6 мільйона пристроїв. Про це повідомляє Ars Technika.
Шкідливий код у популярному розширенні
Інцидент став очевидним після того, як сервіс захисту від витоків даних Cyberhaven виявив, що одне із його власних розширень, яке використовують 400 тисяч користувачів, було оновлено кодом, що викрадав дані.
Шкідлива версія 24.10.4 була доступна лише 31 годину — із 25 грудня до ранку 26 грудня 2024 року. Браузери, які використовували це розширення у вказаний час, автоматично завантажили й установили шкідливий код.
Cyberhaven швидко випустила оновлення до версій 24.10.5 і 24.10.6, щоб усунути загрозу.
Як це працювало?
Розширення, яке зазвичай захищає користувачів від введення конфіденційної інформації на ненадійних сайтах, було скомпрометоване через фішинговий лист.
Зловмисники надіслали розробникам повідомлення, у якому йшлося про порушення умов Google. У результаті один із розробників надав дозвіл через підроблений екран авторизації Google OAuth. Це дало зловмисникам можливість завантажувати нові версії розширення до Chrome Web Store.
Масштаби атаки
Розслідування показало, що аналогічним методом було скомпрометовано 19 інших розширень для Chrome, які сумарно мали 1,46 мільйона завантажень. Серед них такі популярні розширення, як VPNCity, Reader Mode, Wayin AI та інші.
Деякі розширення збирали файли cookie й облікові дані із популярних сайтів, таких як Facebook і ChatGPT, тоді як інші використовували підроблені домени для поширення шкідливого коду.
Список скомпрометованих розширень
Серед постраждалих розширень:
- VPNCity — 10 тисяч користувачів (постраждали із 12 до 31 грудня 2024 року).
- Reader Mode — 300 тисяч користувачів (18–19 грудня 2024 року).
- Wayin AI — 40 тисяч користувачів (19–31 грудня 2024 року).
- YesCaptcha Assistant — 200 тисяч користувачів (29–31 грудня 2024 року).
Повний перелік містив 33 розширення.
Додаткові ризики
Дослідники виявили, що Reader Mode було скомпрометоване ще у квітні 2023 року. Код, який використовувався для монетизації цього розширення, збирав дані про кожне відвідування вебсайтів користувачами.
Загалом 13 розширень, включно із Reader Mode, використовували цей код і зібрали дані з 1,14 мільйона пристроїв.
Рекомендації користувачам
Якщо ви використовували одне із перелічених розширень, то необхідно змінити паролі й перевірити свої облікові записи на підозрілу активність. У разі використання корпоративних мереж рекомендовано створити список дозволених розширень із зазначенням конкретних версій, щоб запобігти подібним інцидентам у майбутньому.
Читайте також на ProIT: У США можуть заборонити роутери TP-Link.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
