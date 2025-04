John Tucker to założyciel firmy Secure Annex. W trakcie pomocy jednemu z klientów odkrył on kilkadziesiąt niebezpiecznych rozszerzeń do przeglądarki Chrome, które pod płaszczem pomocy użytkownikom tak naprawdę kradną ich dane.

Niebezpiecznie rozszerzenia do Chrome

W pierwszej kolejności uwagę Tuckera zwróciły dwa rozszerzenia, które nie były opublikowane. Oznacza to, że nie da się ich znaleźć w Chrome Web Store. Do ich instalacji potrzeba linku prowadzącego do ich podstrony. Nie zawsze oznacza to, że dana wtyczka jest szkodliwa, ale w tym przypadku zapalało czerwoną lampkę.

W dalszej analizie ekspert znalazł 33 kolejne rozszerzenia (klient w sumie miał ich zainstalowanych aż 132, więc raczej nie należał do najbardziej ogarniętych). Wszystkie one prowadziły do tego samego serwera, używały podobnego kodu i domagały się takich samych, bardzo szerokich uprawnień, w tym kart i okien przeglądarki, plików cookie, pamięci masowej, skryptów, alarmów i interfejsów API zarządzania.

Te 35 rozszerzeń zostało zainstalowanych w sumie aż 4 mln razy. Co gorsze, aż 10 z nich ma oznaczenie "featured", które nadawane jest przez Google zaufanym deweloperom.

Co prawda Tucker nie znalazł bezpośrednich dowodów na to, że rozszerzenia eksfiltrują dane, ale to bardzo prawdopodobny scenariusz. Jedno z narzędzi o nazwie Fire Shield Extension Protection, które twierdzi, że skanuje Chrome w poszukiwaniu złośliwych lub podejrzanych wtyczek, zawiera plik JavaScript, który może przesyłać dane i pobierać kod oraz instrukcje z kilku podejrzanych domen, w tym jednej o nazwie unknow.com.

Ta domena obecna jest w kodzie każdej z 35 wtyczek. Co ciekawe, ta jest podobno na sprzedaż, co tym bardziej budzi wątpliwości. Czemu tyle rozszerzeń miałoby w jakiś sposób odnosić się do tej samej, niedostępnej domeny? Tego nie wiadomo.

Złośliwe rozszerzenia to między innymi: