Вредоносные расширения периодически просачиваются в Chrome Web Store и аналогичные магазины других браузеров, маскируясь под полезные инструменты. Особенно коварны те, что изначально работают честно — и только спустя время, заручившись доверием пользователей, превращаются в малварь.
Именно это произошло с рядом расширений для Google Chrome и Microsoft Edge. Специалисты из Koi Security обнаружили аддоны, которые несколько лет функционировали абсолютно нормально, а затем получили обновления с вредоносным кодом. Теперь хакеры могут следить за пользователями, собирать и похищать конфиденциальные данные. Схема, получившая название ShadyPanda, набрала четыре миллиона загрузок и до сих пор активна в Edge.
Похожую кампанию провернули и с Firefox в начале этого года. Злоумышленники добились одобрения безобидных расширений, имитирующих популярные криптокошельки, накопили загрузки и положительные отзывы, а потом внедрили код, перехватывающий данные из полей ввода. Результат — украденные криптоактивы.
Как поясняют в Koi Security, ShadyPanda начиналась как партнёрская афера. 145 расширений маскировались под обои и инструменты повышения продуктивности в обоих браузерах. На первом этапе они внедряли партнёрские трекинговые коды и получали комиссию за клики на eBay, Amazon и Booking.com. Затем схема эволюционировала — расширения начали перехватывать и подменять результаты поиска. А в 2018 году появились пять аддонов, которые позже переродились в полноценную малварь.
Эти расширения имели отметки Featured и Verified в Chrome. Одно из них — чистильщик кэша Clean Master — набрало рейтинг 4,8 на основе тысяч отзывов. В 2024 году их обновили: теперь они каждый час проверяют новые инструкции от командного центра и имеют полный доступ к браузеру, сливая информацию на серверы ShadyPanda. Из Chrome их уже удалили.
А вот в Edge ситуация хуже. В 2023 году хакеры запустили ещё пять расширений, включая WeTab. Два из них — полноценные шпионские программы, и на момент публикации отчёта Koi все пять оставались активными.
Как найти вредоносные расширения? К сожалению, они прикидываются чем-то полезным, так что беглый осмотр списка установленных аддонов вряд ли поможет. Но у Koi Security есть список идентификаторов расширений, связанных с ShadyPanda, и их можно проверить вручную.
В Chrome введите в адресной строке chrome://extensions/ и нажмите Enter. Включите режим разработчика в правом верхнем углу — это покажет ID каждого расширения. Теперь можно скопировать каждый подозрительный ID из списка и найти его через поиск (Ctrl+F на Windows или Cmd+F на Mac). Если совпадений нет — всё чисто. Нашли вредонос — жмите «Удалить». В Edge процедура та же, только адрес edge://extensions/.
Хотя эта история показывает, что расширения могут стать опасными спустя годы после установки, базовые правила безопасности никто не отменял. Проверяйте название — мошенники часто используют почти идентичные названия популярных аддонов. Читайте описание: опечатки, странные картинки, несвязный текст — всё это красные флаги. Если у нового расширения подозрительно много восторженных отзывов за короткий срок или отзывы явно про что-то другое — это повод насторожиться. Не поленитесь погуглить название или поискать обсуждения на Reddit, прежде чем устанавливать что-то новое.