Две разширения за Google Chrome бяха компрометирани след прехвърляне на собствеността им, превръщайки се в инструмент за инжектиране на код, кражба на данни и разпространение на зловреден софтуер. Случаят показва колко уязвима може да бъде екосистемата на браузърните разширения, дори когато те са били „Featured“ и считани за надеждни.
https://x.com/tuckner/status/2027416172442853830
Става дума за QuickLens – Search Screen with Google Lens (около 7000 потребители) и ShotBird – Scrolling Screenshots, Tweet Images & Editor (около 800 потребители). И двете първоначално са разработени от един и същ автор, но впоследствие са продадени или прехвърлени на нови собственици, които са внедрили злонамерени актуализации.
Съдържание на статията
Как QuickLens беше превърнато в инструмент за атаки
QuickLens е било обявено за продажба само два дни след публикуването му, а през февруари 2026 г. собствеността му е сменена. На 17 февруари е пусната актуализация, която запазва функционалността, но добавя опасни механизми:
- премахване на защитни HTTP заглавки като X‑Frame‑Options,
- възможност за заобикаляне на Content Security Policy,
- събиране на информация за държава, браузър и ОС,
- периодично сваляне на JavaScript от външен сървър,
- изпълнение на кода чрез скрит 1×1 GIF елемент.
Зловредният код не присъства в самото разширение – той се доставя динамично от C2 сървър и се изпълнява при всяко зареждане на страница.
ShotBird – фалшиви Chrome ъпдейти и кражба на данни
ShotBird използва различна техника, но със същата цел. Вместо GIF трик, разширението получава JavaScript чрез callback и показва фалшив Chrome update прозорец. При кликване потребителят е пренасочван към страница, която го кара да отвори Run диалога, да стартира cmd.exe и да изпълни PowerShell команда. Това води до изтегляне на файл „googleupdate.exe“.
След инсталирането му:
- се прихващат полета като input, textarea и select,
- крадат се въведени данни като пароли, PIN, карти, токени, лични идентификатори,
- извлича се информация от Chrome (история, пароли, данни за разширения).
Изследователите определят това като двустепенна атака – първо контрол през разширението, после изпълнение на код на ниво система.
Част от по‑широка кампания
Анализите показват, че и двете разширения използват еднаква C2 архитектура, сходни примамки и идентичен модел на прехвърляне на собствеността – вероятно дело на един и същ нападател.
Случаят не е изолиран. През последните месеци са открити множество други злонамерени разширения:
- lmToken Chromophore – краде seed фрази чрез фишинг страници.
- Chrome MCP Server – AI Browser Control – пълен RAT, маскиран като AI инструмент.
- Разширения от серията Urban VPN / Browser Guard / Ad Blocker – събирали AI чатове от ChatGPT, Claude, Copilot и др.
- Palette Creator – над 100 000 потребители, свързано с кампания за browser hijacking.
- OmniBar AI Chat and Search – променя началната страница и търсачката като част от мащабна афилиейт схема.
- Други разширения от същия разработчик – следят активността на потребителя или изпращат Reddit коментари към външен API.
Какво да направят потребителите
Експертите препоръчват:
- незабавно премахване на всички засегнати разширения,
- избягване на странично инсталиране (side‑loading),
- периодичен одит на браузъра за непознати добавки,
- инсталиране само на разширения от доверени разработчици.
Случаят ясно показва колко лесно една легитимна добавка може да се превърне в инструмент за атака след смяна на собствеността, а това е проблем, който засяга цялата екосистема на Chrome Web Store.
Интересн факт е, че оригиналният разработчик има още активни добавки в магазина на Chrome – Radial New Tab, SideWiki – Sidebar for Wikipedia, RediTop – Scroll to Top for Reddit и AudioMatch – YouTube Audio Selector, като всички получават Featured баджа и се считат за надеждни.
Едното зловредно разширение QuickLens вече не присъства в Chrome Web Store, но ShotBird е все още налично.
