Te wtyczki okazały się zagrożeniem. Setki tysięcy instalacji

Specjaliści ds. cyberbezpieczeństwa z firmy LayerX odkryli złośliwe rozszerzenia do przeglądarek internetowych. Chodzi o 17 wtyczek, które były dostępne w oficjalnych sklepach i łącznie zostały pobrane ponad 840 tysięcy razy. Część z nich mogła działać niezauważenie nawet przez pięć lat.

Rozszerzenia były dostępne w Google Chrome, Mozilla Firefox oraz Microsoft Edge. Wiele z nich oferowało funkcje, które na pierwszy rzut oka wydają się zupełnie nieszkodliwe, na przykład tłumaczenie tekstu, pobieranie filmów z YouTube, zapisywanie obrazów z Pinteresta czy sprawdzanie historii cen na Amazonie.

Dodatki już usunięte, ale zagrożenie może nadal istnieć

Mozilla i Microsoft potwierdziły, iż wszystkie wskazane rozszerzenia zostały już usunięte z ich oficjalnych sklepów. To jednak nie oznacza, że problem zniknął całkowicie. Jeśli któryś z dodatków został wcześniej zainstalowany przez użytkownika, nadal może znajdować się w przeglądarce i działać w tle. Eksperci zalecają, aby użytkownicy samodzielnie sprawdzili listę zainstalowanych rozszerzeń i ręcznie usunęli te, które znalazły się na liście zagrożeń.

Najpopularniejsze rozszerzenie miało setki tysięcy pobrań

Najczęściej instalowanym dodatkiem był „Google Translate in Right Click”, który został pobrany ponad 500 tysięcy razy. Dużą popularnością cieszyło się także rozszerzenie do tłumaczenia tekstu, które miało blisko 160 tysięcy instalacji.

Specjaliści ds. cyberbezpieczeństwa z firmy LayerX odkryli złośliwe rozszerzenia do przeglądarek internetowych. Chodzi o 17 wtyczek, które były dostępne w oficjalnych sklepach i łącznie zostały pobrane ponad 840 tysięcy razy. Część z nich mogła działać niezauważenie nawet przez pięć lat.

Według badaczy właśnie popularność oraz pozornie przydatne funkcje sprawiły, że rozszerzenia długo nie wzbudzały podejrzeń. Użytkownicy instalowali je z myślą o ułatwieniu codziennego korzystania z internetu, nie zdając sobie sprawy z tego, co dzieje się w tle.

Jak działało złośliwe oprogramowanie

Zidentyfikowana kampania została nazwana GhostPoster. Jej działanie opierało się na kilku rozwiązaniach, które utrudniały wykrycie zagrożenia. Jedną z nich było ukrywanie złośliwego kodu wewnątrz obrazów, na przykład plików PNG. Pozwalało to ominąć standardowe zabezpieczenia platform z aplikacjami.

Dodatkowo wtyczki nie uruchamiały podejrzanych funkcji od razu. Te mogły aktywować się dopiero po kilku tygodniach lub nawet miesiącach od instalacji. Gdy to następowało, dodatki były w stanie manipulować ruchem internetowym, śledzić aktywność użytkownika, generować fałszywe kliknięcia reklamowe oraz udostępniać linki afiliacyjne w celu zarabiania pieniędzy.

Niektóre z nich potrafiły także obchodzić zabezpieczenia CAPTCHA i umieszczać kolejne skrypty, co dawało atakującym jeszcze większą kontrolę nad przeglądarką.

To nie pierwszy taki przypadek

Eksperci zwracają uwagę, iż to kolejny sygnał ostrzegawczy dla użytkowników przeglądarek. Wcześniejsze śledztwo innej firmy ujawniło, że popularne rozszerzenie VPN, z którego korzystały miliony osób, zbierało dane z rozmów prowadzonych z narzędziami AI, takimi jak ChatGPT czy Gemini, a następnie sprzedawało je brokerom danych.

W tamtym przypadku również skrzętnie ukrywano kod w obrazach oraz przekierowywano użytkowników na strony służące do infekowania systemu.

Ostrożność nadal kluczowa

Eksperci podkreślają, że nawet rozszerzenia dostępne w oficjalnych sklepach nie zawsze są bezpieczne. Zalecają instalowanie tylko tych dodatków, które są rzeczywiście potrzebne, regularne sprawdzanie ich uprawnień oraz usuwanie wszystkiego, co budzi wątpliwości.

Lista rozszerzeń, które stanowią zagrożenie:

• Page Screenshot Clipper
• Full Page Screenshot
• Convert Everything
• Translate Selected Text with Google
• Youtube Download
• RSS Feed
• Ads Block Ultimate
• AdBlocker
• Color Enhancer
• Floating Player – PiP Mode
• One Key Translate
• Cool Cursor
• Google Translate in Right Click
• Translate Selected Text with Right Click
• Amazon Price History
• Save Image to Pinterest on Right Click
• Instagram Downloader

Kolejna taka kampania

Warto przypomnieć, że jakiś czas temu odkryto złośliwe wtyczki dostępne dla Chrome oraz Edge. Początkowo rozszerzenia dostępne w Chrome Web Store i sklepie Microsoft Edge były czyste, jednak z czasem zostały zaktualizowane o złośliwy kod. Jest to klasyczna metoda na obejście zabezpieczeń platform z aplikacjami. Jak widać, jest to chętnie wykorzystywany sposób przez cyberprzestępców.