Злоумышленная смена владельца расширений Chrome открыла путь для массовой инъекции кода и кражи данных
В экосистеме браузерных расширений обнаружена критическая уязвимость цепочки поставок. Два, казалось бы, легитимных расширения из Chrome Web Store, QuickLens и ShotBird, превратились во вредоносные после передачи прав собственности. Этот инцидент демонстрирует, как доверенное программное обеспечение может быть превращено в оружие после продажи или передачи злоумышленникам.
Изначально расширения были разработаны индивидом, связанным с почтой "akshayanuonline@gmail.com". В то время как QuickLens уже удалено из магазина, ShotBird, рекламировавшийся как инструмент для создания визуального контента с локальной обработкой, оставался доступным для загрузки, представляя постоянную угрозу для ничего не подозревающих пользователей.
Исследования показывают чёткую схему компрометации. Расширение ShotBird, получившее статус "Рекомендуемое" от Google в январе 2025 года, в прошлом месяце было передано новому разработчику. Аналогично, QuickLens было выставлено на продажу на площадке ExtensionHub всего через два дня после публикации, а к февралю 2026 года его владельцем числился новый субъект. Эти передачи дали злоумышленникам право выпускать обновления для установленной базы пользователей.
Вредоносное обновление для QuickLens, выпущенное 17 февраля 2026 года, сохранило исходный функционал для маскировки. Его главной скрытой функцией стало удаление критических заголовков безопасности, таких как `X-Frame-Options`, из всех HTTP-ответов. Это позволило обойти фундаментальные веб-защиты, включая политику безопасности контента, и открыло широкие возможности для атак на любых посещаемых пользователем сайтах.
Помимо манипуляций с заголовками, скомпрометированное расширение выполняло сложные процедуры сбора данных и удалённого выполнения кода. Оно проводило фингерпринтинг окружения пользователя и каждые пять минут опрашивало внешний командный сервер для получения и выполнения JavaScript-полезных нагрузок, что превращало браузер в мощный инструмент для шпионажа.
Эта атака подчёркивает системные риски в модели распространения расширений, где проверка новых владельцев остаётся слабым звеном. Пользователям крайне необходимо регулярно аудитировать установленные расширения, отключать автоматические обновления и удалять непроверенные дополнения, особенно после смены разработчика в магазине.
