Найти в Дзене
Блог Женьки. Женский взгляд на железо
494 подписчика

🚨 Расширение-оборотень:«Милый» Chrome-аддон, который одной ночной автообновой крадёт твой пароль, котиков и совесть! 🕵️‍♀️🔑💥

158
7 мин
Оглавление

Ты ставил расширение, чтобы заблокировать рекламу?
Просыпаешься — а оно уже пишет каждые нажатые клавиши и шлёт отчёты в тёмные уголки интернета.
Сценарий звучит как кликбейт? Увы, это реальность: достаточно одному разработчику продать свой проект за 10 000 $, и твой любимый «AdBlock-X» превращается в ночного вора. Сегодня разложим всю магию «аддонов-оборотней» по полочкам, научимся их распознавать и держать браузер в чистоте. Запасайся чаем: впереди гигантский (правда, очень дружелюбный) гайд на двадцать тысяч символов и выше! 🚀

1. Пролог: почему этот текст должен тебя волновать

Все ставят расширения

  • Хочешь скачать видео — ставишь «VideoDownloader».
  • Надо сохранить веб-страничку в PDF — «Save as PDF».
  • Бесит реклама на YouTube — «AdBlock Ultimate!».

В итоге у среднестатистического человека 10–20 расширений, у энтузиаста — под пятьдесят. Каждый плагин живёт прямо внутри браузера, видит, что ты печатаешь, куда кликаешь, какие файлы скачиваешь.

Они обновляются «молча»

Chrome, Edge и Opera по умолчанию раз в несколько часов спрашивают магазин расширений: «Есть свежая версия?» — и сразу ставят её, не спрашивая юзера. Разработчик изменил одну строчку кода, и утром у тебя новый «сюрприз» в фоне, даже если компьютер стоял на паузе.

Кто такие «оборотни»

Разработчик устал, захотел денег, получил выгодное письмо:

«Мы купим ваше расширение, платим сразу!»

После продажи новый владелец выкладывает в следующее обновление скрытый JavaScript-сниффер. Браузер скачивает его автоматически. Пользователь спит. Плагин просыпается и начинает:

  • вставлять свою рекламу;
  • писать каждую нажатую клавишу (кейлог);
  • воровать куки — то есть автоматический вход на сайты;
  • сканировать DOM-дерево страниц в поисках номеров карт;
  • добывать крипту на твоём процессоре, пока ты смотришь сериальчик.

Это не страшилка, а реальная практика: сообщество не раз ловило популярные аддоны, превратившиеся в шпионов за одну ночь.

2. Как вообще работает расширение (очень коротко и простыми словами)

WebExtension API — приглашение на кухню

Браузер открывает расширению двери на свою «кухню». Через API оно может:

  • читать код любой страницы;
  • менять HTML до того, как ты это увидишь;
  • перехватывать сетевые запросы;
  • хранить данные на твоём ПК;
  • запускаться при старте браузера.

Манифест — список желаний

Каждое расширение публикует manifest.json — там указано, что ему «можно»:

  • tabs — видеть, какие вкладки открыты;
  • activeTab — лазить в текущую страницу;
  • storage — сохранять файлы;
  • webRequest — смотреть сетевой трафик;
  • host_permissions — список сайтов «.google.com», «:///» и т. д.

Если видишь «:///*» — это значит ВСЕ сайты, без исключения. А именно так пишут почти все блокировщики рекламы: ведь они должны фильтровать интернет-свалку на каждом домене.

Manifest V3 — «жёсткая» реформа безопасности?

Google ввёл Manifest V3, сократил часть возможностей, запретил исполнять код из интернета. Звучит круто. Проблема в том, что:

  • ключевые привилегии (host_permissions) остались;
  • код можно прятать в сжатых blob’ах, а потом распаковывать;
  • майнеры и шпионы переезжают из фоновых страниц в Service Worker.

То есть V3 стал сложнее, но не заставил жуликов исчезнуть.

3. Три уровня опасности — от «бесят» до «ломают жизнь»

Уровень 1: Инжектим рекламу 😒

Плагин подменяет баннеры на свои. Вроде бы «мелочь»: лишние поп-апы, медленная прокрутка, звуковые клипы посреди ночи. Тебя бесит, но кошелёк цел.

Уровень 2: Греем процессор 🥵

Аддон подключает майнер Monero или какую-нибудь JavaScript-ферму. Фан ноутбука воет, батарея тает, счётчик электроэнергии пляшет. Незаметно? Ага, особенно летом на коленках.

Уровень 3: Воруем куки, пароли, 2FA-токены 💀

  • Слиты логины соцсетей — твой аккаунт шлёт спам друзьям.
  • Доступ в интернет-банк — привет, перевод «левому» ИП.
  • Снимок буфера обмена — там «Ctrl + C» был разовый код двухфакторки…

Вот это уже реальный финансовый и репутационный урон: деньги можно вернуть не всегда, а потерянный Telegram-канал придётся собирать заново.

4. Как расширение становится оборотнем: пошаговый сценарий

  1. Разработчик получает письмо: «Купим у вас расширение, у вас 200 000 пользователей, это золото!».
  2. Договор, передача ключей в Chrome Web Store.
  3. Платёж — обещанные $ здесь же, часто крипта.
  4. Обновление 1 — «мелкие фиксы», фактически добавляют лишний домен для удалённой конфигурации.
  5. Обновление 2 — включают стороннюю библиотеку; ещё всё тихо.
  6. Обновление 3 — полный «боевой» код: кейлог, криптомайнер, замена поисковой системы.

Все три апдейта проходят в фоне. Пользователь узнаёт об «оборотне», когда:

  • менеджер паролей шлёт тревогу о входе из Индонезии,
  • банковское приложение просит подтвердить странный перевод,
  • процессор грузится на 100 % без игр и рендера.

-2

5. Пять шагов, чтобы не стать жертвой

Шаг 1. Минимализм: держим список расширений коротким ✂️

  • Всё, что «когда-то было нужно», но сейчас не используешь, — удали.
  • Оставь ядро: блокировщик рекламы, менеджер паролей, пару тулов для работы.

Шаг 2. Проверяем разрешения перед установкой 🔍

Когда ставишь расширение, Chrome выводит окно:

«Это расширение может читать и изменять данные на всех сайтах».

Если плагин — «Тёмная тема для YouTube», зачем ему все сайты? Возникает вопрос: оно точно доброе? Если сомнения грызут, ищи альтернативу.

Шаг 3. Включаем ручное обновление ⚙️

  • Открыть chrome://extensions/.
  • Включить «Режим разработчика» (спокойно, мы не ломаем ничего).
  • Нажать кнопку «Обновить» — теперь у тебя контроль: нажмёшь, когда готов.

Придётся кликать раз в неделю, но зато ни одна ночная обнова не подбросит трояна.

Шаг 4. Сохраняем резервные копии CRX 🗄️

Любимый аддон? Скачай его CRX-файл, храни локально. Если он внезапно испортится, можно удалить из магазина, а установить локальную «чистую» версию без автопроверок. Жёстко? Зато безопасно.

Шаг 5. Мониторим обновления и новости 📰

Загугли название аддона + «malware», подпишись на подреддит r/ChromeExtensions или Telegram-канал о безопасности. Сообщество часто находит подвох за часы после «переобувания».

6. Чек-лист «Анти-оборотень» — пройди прямо сейчас!

  • У тебя меньше 15 расширений? 👍
  • Каждое из них имеет понятные разрешения? 🧐
  • Ручное обновление включено? ✋
  • Пароли хранятся в менеджере, а не в Chrome? 🔐
  • Двухфакторная защита на почте и банке настроена? 📲

Если на любой пункт ответ «нет» — время действовать, дружище!

7. Бонус: список «легенд», которые уже предали

⚠️ Важно: названия изменены, но прототипы реальны.
  • The Great Suspender 2 — культовое «усыплятель вкладок» превращалось в рекламо-инжектор.
  • Nano Ad-Guru — форк популярного блокировщика внезапно начал отправлять статистику на неизвестный сервер.
  • PDF SuperSave — после смены владельца запрашивал разрешения читать буфер обмена (зачем для PDF?).
  • VPN-Free-Ultra — добавил скрытый прокси, продавал твой трафик рекламным сетям.
  • Emoji Keyboard Platinum — включил криптомайнер; батарея у ноутов сгорала за час стрима.

Вывод: даже если название знакомое и с миллионной аудиторией, доверяй, но проверяй!

8. Часто задаваемые вопросы (FAQ) ☕️

— А Firefox?
В Firefox также есть автообновления, но можно в настройках выключить. Манифест там другой, но суть риска та же.

— Edge-Store безопасней?
Нет. Edge тянет большинство расширений из магазина Chrome, а свои тоже не досматривает идеально.

— Что делать на рабочем ПК, если политика запрещает устанавливать аддоны?
Радоваться! Меньше вероятности подцепить шпионов. Если нужен функционал, проси IT-отдел официально установить проверенный плагин.

— Можно ли 100 % защититься?
Только если вообще не ставить расширения. Но это грустно. Реалистичней — минимализм, ручные апдейты и здоровая паранойя.

9. История из мастерской Евгении 😱 (чтобы запомнилось)

Приходит клиентка с криком: «Инстаграм взломали, рекламируют биткоин-мошенников!»
Проверяем: в Chrome установлена «Cute Cursor Pack». Разработчик продал аддон, новый владелец влил скрипт, ворующий куки.
Мы восстановили доступ через поддержку, включили 2FA, удалили расширение. Но репутацию в блоге пришлось отмывать две недели — подписчики взбесились.

Мораль: одно «ми-ми-ми»-расширение может стоить массы нервов и денег.

10. Финал: твой браузер — твоя крепость 🔒

Расширения делают интернет удобным: мгновенный перевод, тёмная тема, копирование кода кнопкой… Бросать их жалко. Но помнить о рисках — обязанность каждого, кто ценит свои файлы, деньги и кото-мемы.

Запомни три золотых правила:

  1. Ставь меньше, чем хочешь.
  2. Читай разрешения перед кликом «Добавить».
  3. Тримай руку на пульсе обновлений.

Понравился гайд? Поделись с другом, у которого «аддоны на полэкрана»: поможем ему спать чуть спокойнее. А если нашёл расширение-оборотня — пиши в комментариях, устроим мини-расследование!

С тобой была Евгения, хозяйка мастерской и «охотница» за тёмными аддонами. Береги браузер, береги нервы — и пусть твоя вкладка всегда будет светлой стороной силы! 🌟🛡️

6