Miliony użytkowników Google Chrome ofiarami ataku. Adblock for Chrome, WAToolkit i inne rozszerzenia zostały zainfekowane

Rozszerzenia są bardzo popularnymi dodatkami do przeglądarek internetowych. Największym zainteresowaniem cieszą się te, które blokują reklamy na stronach WWW. Nie zawsze jednak tego typu dodatki są bezpieczne - nawet wtedy, gdy mają pozytywne opinie w oficjalnym cyfrowym sklepie. Zdarza się, że te zupełnie bezpieczne rozszerzenia z czasem zaczynają zawierać złośliwy kod. Tak właśnie było w przypadku wielu rozszerzeń dla przeglądarki Google Chrome.

Miliony osób nieświadomie korzystały z rozszerzeń, które zawierały złośliwy kod. Co ciekawe - wcześniej te dodatki nie stanowiły dla nikogo zagrożenia. Cyberprzestępcom* udało się uzyskać do nich dostęp i je zmodyfikować.

Źródło: deepanker70 (Pixabay, edytowane)

Gmail atakowany przez cyberprzestępców z użyciem AI. Pracownik Microsoftu ostrzega przed bardzo realistycznym scamem

Cyberprzestępcy* do dodania złośliwego kodu do rozszerzeń posługiwali się np. metodą zwaną phishingiem. W tym wypadku udało im się przejąć kontrolę nad kontami deweloperów, a co za tym idzie - nad wieloma rozszerzeniami do przeglądarki internetowej Google Chrome (niektóre rozszerzenia mogły zostać kupione). Użytkownicy, którzy pobrali je wcześniej i zgodzili się nadać im odpowiednie uprawnienia, nie byli więc niczego świadomi, gdyż rozszerzenia są aktualizowane automatycznie. Sprawa została zgłoszona w styczniu 2025 roku do firmy Google, a ta w odpowiedzi usunęła zainfekowane rozszerzenia, których listę możemy zobaczyć poniżej. Jednak w takim przypadku, jeśli użytkownik ma zainstalowane rozszerzenie, a zostaje ono usunięte z Google Web Store, to sam musi podjąć dodatkowe kroki, aby je odinstalować. W innym razie nadal będzie ono aktywne. Wiadomo, że omawiani przestępcy* infekują rozszerzenia co najmniej od lipca 2024 roku. Umożliwiały one zbieranie danych z nagłówków HTTP i treści DOM (Document Object Model), a także wstrzykiwanie kodu. Na dodatek zagrożenie nie było łatwe do wykrycia. Pełne omówienie znajdziemy pod tym adresem.

*Mimo że mowa o cyberprzestępcach, to jest to tylko założenie, wszak wszystkimi działaniami w teorii mogłaby się zajmować jedna osoba.

Lista z GitLab Security Tech Notes

Przeglądarka Mozilla Firefox z poważną luką. Cyberprzestępcy chętnie ją wykorzystują, jednak poprawka jest już dostępna

Osobne dochodzenie w tej sprawie zleciła firma Cyberhaven, która jest jednym z poszkodowanych (jej rozszerzenie zostało zainfekowane). Za prowadzenie śledztwa odpowiadało przedsiębiorstwo Booz Allen Hamilton, które posłużyło się inżynierią wsteczną (warto zapoznać się z tym artykułem oraz odnośnikami). Rozszerzenia zawierające złośliwy kod komunikowały się z kontrolowanymi przez cyberprzestępców* serwerami i potencjalnie uzyskiwały dostęp do danych (przez uprawnienia tych dodatków), takich jak ciasteczka, tokeny uwierzytelniające, nazwy użytkowników i hasła, czy też te dotyczące aktywności przeglądania. Natomiast nie wiadomo, czy kradzież takich poufnych informacji miała miejsce. Warto mieć na uwadze, że dziś musimy być naprawdę ostrożni, korzystając z komputera - nawet w pozornie tak błahych sprawach, jak wybór rozszerzenia do przeglądarki internetowej.

Miniaturka mobilna: Simon (Pixabay)

Lista z Cyberhaven (raport od Booz Allen Hamilton)

Źródło: Google