Две расширения Chrome пойманы на тайной краже учетных данных с более чем 170 сайтов
24.12.2025
4393
Два расширения Chrome были разоблачены за тайный сбор учетных данных для входа с более чем 170 веб-сайтов, включая крупные платформы, такие как Google, GitHub и Microsoft.
🚨 Расширения Chrome пошли наперекосяк: крадут ваши логины с... вчерашнего дня?
Два расширения Chrome были пойманы с поличным при тайном сборе учетных данных для входа с более чем 170 веб-сайтов. Это не просто случайная попытка фишинга — это ваши расширения для браузера, которые оборачиваются против вас.
Расширения — 'PDF Toolbox' и 'Auto-Text Expander' — были обнаружены исследователями кибербезопасности в McAfee. Они работали незаметно, собирая имена пользователей и пароли с крупных платформ, включая Google, GitHub, Microsoft и финансовые учреждения.
Вот как работает атака: вредоносные расширения внедряют JavaScript на веб-страницы, чтобы перехватывать отправку форм. Когда вы вводите свои учетные данные, они перехватываются перед отправкой на законный сервер. Украденные данные затем передаются на сервер управления и контроля, контролируемый злоумышленниками.
- • Нацелены на более чем 170 веб-сайтов, включая крупные платформы
- • Использует внедрение JavaScript для перехвата отправки форм
- • Передает украденные учетные данные на серверы, контролируемые злоумышленниками
- • Работает через, казалось бы, законные расширения Chrome
Расширения были хитро замаскированы под законные инструменты. 'PDF Toolbox' предлагал функции преобразования PDF, а 'Auto-Text Expander' обещал возможности расширения текста. Оба имели тысячи загрузок до разоблачения.
Эта атака представляет собой сложный компромисс цепочки поставок. Расширения изначально были законными, но позже были обновлены вредоносным кодом. Пользователи, установившие чистые версии изначально, получали вредоносные обновления без их ведома.
Эти расширения демонстрируют, как злоумышленники могут скомпрометировать цепочку поставок программного обеспечения для распространения вредоносного ПО через доверенные каналы.
Атака использует технику 'человек в браузере', когда вредоносный код выполняется в контексте браузера для перехвата конфиденциальных данных. Это обходит многие традиционные меры безопасности, поскольку вредоносная активность происходит в рамках, казалось бы, законных процессов браузера.
Google удалил оба расширения из Chrome Web Store, но пользователям, которые уже установили их, необходимо удалить их вручную. Расширения могли быть активными в течение нескольких месяцев до обнаружения, потенциально скомпрометировав множество учетных записей.
- • Проверьте, установлены ли у вас 'PDF Toolbox' или 'Auto-Text Expander'
- • Немедленно удалите любые подозрительные расширения
- • Измените пароли для затронутых учетных записей
- • Включите двухфакторную аутентификацию, где это возможно
- • Отслеживайте учетные записи на предмет подозрительной активности
Этот инцидент подчеркивает растущую угрозу атак на цепочку поставок, нацеленных на расширения браузера. С миллионами пользователей, доверяющих этим дополнениям, одно скомпрометированное расширение может затронуть тысячи жертв в нескольких организациях.
Команды корпоративной безопасности должны внедрять политики управления расширениями, создавать белые списки одобренных расширений и отслеживать необычный сетевой трафик от процессов браузера. Отдельные пользователи должны регулярно проверять установленные расширения и удалять все ненужное или подозрительное.
#Chrome расширения#атаки по цепочке поставок#вредоносное ПО#учетные данные#человек в браузере
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
