Сидишь вечером, ставишь плагин, который обещает убрать назойливый баннер или перевести пару строк, и в этот момент сам открываешь хакеру входную дверь. В 2025 году такие финты стали нормой: больше четырёх сотен миллионов скачиваний пришлись на расширения, где внутри сидит чужой глаз. Половина беды в том, что некоторые из них гордо носили бейджик «рекомендовано Google». Логично, что пользователь расслабляется: раз сам магазин сказал «ок», значит всё чисто. На деле твои пароли, номера карт и переписка уже летят в сторону подпольного сервера, пока ты мирно листаешь ленту.
Атаки года: что произошло на самом деле
Свежий кейс Phantom Enigma звучит как название триллера, и зря ты улыбаешься. Ребята взломали бразильские банки, но зацепили Россию, Колумбию и ещё пару стран. Схема простая: берём популярный сервис DeepSeek, делаем фейковое расширение, рисуем приличную иконку. Дальше жертва ставит его, потому что у друга в офисе стоит такой же. Расширение тихо собирает куки, перехватывает логины, запускает WebSocket-туннель и проксирует твой трафик. Итог: мошенники заходят в интернет-банк из-под твоих сессий, а СМС уже пришла на их виртуальный номер.
Тёмная кухня кода: как работают вредоносные расширения
Главный секрет – манифест. В файле manifest.json плагин заявляет права. Просьба «activeTab» вроде мелочь, но даёт полный доступ к содержимому любой открытки в браузере. Добавь «scripting» и «storage» – и расширение может заливать удалённый скрипт прямо на лету, прятать его в локальное хранилище и вызывать, когда ты открываешь страничку банка. Код запутывают так, что модератор видит кашу вместо функций. Плюс техника DOM-clickjacking: злоумышленник делает форму ввода невидимой, задаёт прозрачность ноль. Ты кликаешь на безобидную кнопку «закрыть всплывашку», менеджер паролей автозаполняет скрытое поле, а данные сразу улетают автору плагина. Отдельный бонус – подмена QR-кодов: думаешь, платишь ЖКХ, а на самом деле переводишь деньги на кошелёк злоумышленника.
Три сценария взлома и чем они отличаются
Первый – прямая публикация. Пишем с нуля вредное расширение, заливаем в Chrome Web Store, ставим пару накрученных отзывов. Минус – могут спалить за неделю, но за это время успевают собрать десятки тысяч установок.
Второй – компрометация разработчика. Здесь действуют тоньше: шлют девелоперу письмо «ваша учётка требует подтверждения OAuth». Разраб жмёт «разрешить», и злоумышленники получают доступ к аккаунту, откуда выходят обновления. Итог – полтора миллиона честных пользователей получают апдейт с бэкдором без единого клика с их стороны.
Третий – захват заброшенного проекта. На маркете висит плагин с миллионом активных, но автор два года не заходил. Хакер выкупает домен, отправляет запрос в поддержку, подтверждает владение и форкает код. Магазин выдаёт зелёный свет, а расширение постепенно превращается в троян. Ловить сложно, потому что статистика загрузок давно огромная, и никто не удивляется.
Чек-лист выживания: минимализм и тройная защита
1. Установи правило «не больше пяти расширений». Всё, что не используется каждую неделю, летит в корзину.
2. Перед инсталлом смотри права. Скриншотеру не нужен доступ «ко всем сайтам». Если просит – до свидания.
3. Проверяй автора. Настоящий uBlock Origin подписан Raymond Hill, а не какой-то «Best AdBlock 2025».
4. Включи двухфакторку на почте и в магазине приложений. Если разработчика твоего плагина взломают, токен второго фактора не даст злоумышленнику протолкнуть обновление от твоего имени.
5. Браузер держи свежим. Google и Mozilla постоянно режут опасные API, но это работает только после апдейта.
6. Поставь антивирус, который умеет сканировать расширения. Да, лишний процесс, но лучше потерять пять мегабайт оперативки, чем зарплату.
7. Деньги переводишь – включай защищённый браузер от антивируса или хотя бы создавай отдельный профиль без расширений.
Почему это касается каждого
Любишь считать себя продвинутым? Окей, вспомни, сколько времени проходит между «увидел классное расширение» и «нажал установить». Честно – секунд двадцать. А у школьника, который качает плагины для бесплатных скинов в CS, это три секунды. Исследования показывают: 35% всех расширений потенциально рискованные. То есть открываешь каталог – и каждое третье может утянуть твой ключ от Steam, номер карты или приватные фотки. География атак глобальная, а движок Chromium один и тот же в Chrome, Edge и Brave. Даже если сменишь браузер, ядро, по факту, останется тем же.
Киберпреступники обожают автоматическое обновление. Пока ты читаешь эту статью, расширение, установленное год назад, могло уже получить новую версию и начать стягивать данные. Уведомление об апдейте? Его нет – всё происходит тихо в фоне. Это как оставить машину с открытыми дверями на ночь, а утром обнаружить, что внутренняя отделка заменена на прослушку.
Финальный вывод: цифровая гигиена как утренняя зарядка
Расширения делают интернет удобным, но в 2025-м они же стали самым скользким участком маршрута. Магазины пытаются фильтровать, но злоумышленники всегда на шаг впереди: код обфусцирован, сертификаты поддельные, а бейджик «рекомендовано» выдают по алгоритму, который ещё далёк от совершенства. Сценарий защиты банален, но работает: ставь только нужное, проверяй разрешения, держи двухфакторку, не ленись обновляться. Цифровая гигиена – как чистка зубов. Делаешь каждый день – и к стоматологу ходишь реже. Игнорируешь – лечишься долго и дорого. Выбор, как всегда, за тобой.
А у тебя сколько расширений стоит в браузере прямо сейчас и готов ли ты удалить половину ради спокойного сна?