Изследователи по киберсигурност разкриват мащабна схема, в която на пръв поглед безобидни разширения за Google Chrome се използват за подмяна на афилиейт линкове, кражба на данни и дори за прихващане на токени за достъп до ChatGPT. Разкритията очертават тревожна тенденция: браузърът се превръща в предпочитаната входна точка за атаки, а разширенията – в удобен инструмент за манипулация и шпионаж.
Съдържание на статията
Как започва всичко: Amazon Ads Blocker и скритата му функция
Първият сигнал идва от разширение, което изглежда напълно безобидно. Amazon Ads Blocker обещава да премахва спонсорирано съдържание от Amazon. На пръв поглед – полезен инструмент. Но под повърхността се крие механизъм, който автоматично подменя афилиейт таговете във всички Amazon линкове с тези на разработчика, обяснява Kush Pandya.
Това означава, че всеки път, когато потребител с инсталирано разширение отвори продуктова страница, комисионната отива не към създателя на съдържанието, а към анонимен издател, публикувал разширението под името „10Xprofit“.
Анализът показва, че това не е изолиран случай, а част от по-голям клъстер от 29 разширения, насочени към различни платформи – от AliExpress до Walmart. Всички те използват сходни техники: сканират URL адреси, откриват афилиейт тагове и ги заменят със свои. Ако липсват – добавят ги.
Тук се появява и първият сериозен проблем: подобно поведение нарушава правилата на Chrome Web Store, които изискват ясно разкриване на афилиейт механизми и забраняват подмяната на чужди тагове. Разширението не само нарушава тези правила, но и подвежда потребителите, като твърди, че комисионните се генерират само при използване на купони.
Манипулация на потребителско поведение и източване на данни
Разследването разкрива и други техники, използвани от същата група разширения. Някои от тях изпращат събрани продуктови данни към външен сървър. Други показват фалшиви таймери за „ограничени оферти“, за да създадат усещане за спешност и да подтикнат потребителите към покупка.
Това вече не е просто подмяна на линкове. Това е активна манипулация на поведението – стратегия, която цели да увеличи печалбите от афилиейт комисионни, като същевременно остава невидима за потребителя.
Втората вълна: разширения, които крадат данни
Паралелно с афилиейт схемата, Symantec открива друга група разширения, които имат далеч по-агресивни способности. Някои от тях получават пълен достъп до клипборда чрез външен домейн – нещо, което позволява на нападател да чете и подменя копирания текст. Други събират бисквитки, инжектират реклами или изпълняват JavaScript, идващ от отдалечен сървър.
Особено тревожен е случай, при който разширение използва стара XSS уязвимост (CVE-2020-28707) в WordPress плъгин, за да изпълнява код в браузъра на жертвата. Това е пример за комбинация от два риска – уязвим софтуер и злонамерено разширение – които заедно създават идеална среда за атака, обяснява Tommy Dong.
Най-опасната група: разширения, които крадат ChatGPT токени
Третата група разширения е насочена към нещо още по-чувствително: токените за автентикация в ChatGPT. Шестнадесет разширения, разпространени в Chrome Web Store и Edge Add-ons, инжектират скриптове в chatgpt.com, за да прихванат токена на потребителя.
Този токен дава пълен достъп до акаунта – история на разговори, файлове, код, лични данни. Нападателят може да се представя за потребителя, да чете и копира информация, да анализира вътрешни корпоративни материали.
Тук се откроява и нова тенденция: злоупотреба с доверието към популярни AI инструменти. Разширенията използват имена, икони и описания, които внушават легитимност. Потребителят вижда „ChatGPT Mods“ и приема, че това е полезно допълнение към любимия му инструмент, обяснява Natalie Zargarov.
Но зад фасадата стои механизъм за кражба на идентичност.
Stanley: фабрика за злонамерени разширения като услуга
Откритията съвпадат с появата на Stanley – инструмент, продаван в руски форуми, който позволява на всеки да генерира злонамерени разширения. Те изглеждат като бележници, но при посещение на определени сайтове показват фишинг страници в iframe, докато оставят истинския URL в адрес бара.
Това е изключително опасна техника, защото премахва един от основните ориентири за сигурност – адресната лента. Потребителят вижда правилния адрес, но във визуалния слой е подменен целият интерфейс.
Премиум версията на Stanley дори обещава гарантирано одобрение в Chrome Web Store – детайл, който подчертава колко лесно е да се злоупотреби с доверието към официалните платформи.
Браузърът като новия „ендпойнт“ на атаките
Всички тези случаи водят до една ясна констатация: браузърът вече е основната цел за нападателите. Разширенията имат достъп до страници, данни, токени, клипборд, търсения – и често работят в контекст, който потребителят не може да наблюдава.
Това ги превръща в идеалния троянски кон: тих, легитимен на вид и способен да заобиколи традиционните защитни механизми.
