В феврале 2025 года команда GitLab Threat Intelligence обнаружила по меньшей мере 16 вредоносных расширений Chrome, которые затронули более 3,2 млн пользователей. Расширения принадлежали проверенным разработчикам и распространялись через официальный магазин Chrome, но были взломаны через фальшивые обновления.
Расследование выявило, что злоумышленники получили доступ к аккаунтам разработчиков: некоторые владельцы давно прекратили поддержку своих расширений и потеряли над ними контроль, другие стали жертвами фишинговых атак.
Вредоносные обновления содержали скрытые скрипты, похищавшие конфиденциальные данные пользователей, манипулировавшие веб-запросами и внедрявшие рекламу на сайты незаметно для пользователей.
Какие риски возникают для пользователей?
Взломанные расширения имели права на доступ к веб-страницам и управлению их содержимым. Это позволяло преступникам красть данные банковских карт, учётные записи и куки-файлы, а также управлять сеансами пользователей.
Кроме того, злоумышленники могли подменять информацию на веб-страницах, например, номера счетов при переводах, перенаправлять пользователей на фальшивые сайты и генерировать мошеннические клики по рекламе.
Пользователи отмечали странное поведение расширений: неожиданное появление рекламы, изменения в ссылках и ошибки в работе функций отладки (console.log).