16 популярных расширений Chrome, включая 'Adblock for Chrome', были похищены в результате массированной кибер-атаки

Крупная нарушение безопасности затронула более 3,2 миллионов пользователей через сеть вредоносных расширений для браузеров. Эти расширения, которые намеренно выдают себя за легитимные, как выяснилось, внедряют вредоносные скрипты, крадут данные и даже занимаются мошенничеством в поисковых системах. Исследователи установили что атака была осуществлена путем компрометации цепочки поставок, когда злоумышленники проникали в доверенные расширения и рассылали вредоносные обновления так, что пользователи даже не замечали, что это происходит.

Расширения, о которых идет речь, изначально были предназначены для блокировки рекламы, клавиатуры эмодзи и захвата экрана, и это лишь некоторые из них. Однако в обновлениях появились обфусцированные скрипты, которые позволяли осуществлять несанкционированную утечку данных, модифицировать HTTP-запросы и вставлять рекламу на веб-страницы. Все эти изменения остались незамеченными для пользователей, которые ранее предоставили разрешения на использование этих расширений, что позволило злоумышленникам манипулировать веб-активностью в режиме реального времени. Многие эксперты по безопасности отмечают, что разрешения, предоставленные этим расширениям, включая доступ к хосту и контроль скриптов, делают их особенно опасными.

Вот полный список всех 16 затронутых расширений Chrome:

• Blipshot (скриншоты одной кнопкой на всю страницу)
• Emojis - клавиатура эмодзи
• WAToolkit
• Color Changer для YouTube
• Видеоэффекты для YouTube и улучшитель звука
• Темы для Chrome и YouTube™ Картинка в картинке
• Mike Adblock für Chrome | Chrome-Werbeblocker
• Обновление страницы
• Wistia Video Downloader
• Супертемный режим
• Клавиатура Emoji Keyboard Emojis для Chrome
• Блокировщик рекламы для Chrome - NoAds
• Adblock for You
• Adblock для Chrome
• Nimble Capture
• KProxy

Расследование показало, что эта атака связана со взломанными учетными записями разработчиков. Некоторые разработчики неосознанно передали контроль над своими расширениями злоумышленникам, которые затем распространили вредоносные обновления через официальные магазины расширений для браузеров. Инфраструктура этой атаки, по-видимому, связана с ранее известными фишинговыми операциями. Угрозы достигли этого, используя такие разрешения, как 'host_permissions', 'scripting' и 'declarativeNetRequest'.

Еще один тревожный аспект этой кампании - ее сходство с предыдущими атаками по цепочке поставок, когда злоумышленники используют доверенное программное обеспечение для распространения вредоносных программ. Использование механизмов обновления браузерных расширений позволяет злоумышленникам обойти традиционные меры безопасности.

На данный момент выявленные расширения были удалены с официальных платформ. Тем не менее, пользователям рекомендуется не полагаться исключительно на положительные отзывы о расширениях перед установкой новых расширений.