Jak wykupione rozszerzenia Chrome zmieniły się w malware i adware

Dzisiaj praktycznie wszystko można zrobić w przeglądarce. Korzystanie z dedykowanej aplikacji do maili, pakietu biurowego czy komunikatora nie jest konieczne, bo większość takich usług działa również w wersjach webowych. Co za tym idzie, przeglądarka staje się de facto środowiskiem do uruchamiania innych aplikacji.

TLDR:

• Badacze z LayerX wykryli kampanię, w której wykupywano rozszerzenia Chrome i wdrażano złośliwe aktualizacje.
• Po zmianie właściciela rozszerzenia komunikowały się z serwerami C2 i pobierały z nich konfigurację.
• Wtyczki umożliwiały dynamiczną manipulację treścią stron, w tym formularzami logowania i dowolnymi elementami DOM.
• Dzięki użyciu MutationObserver mechanizm ten działał niezależnie od oryginalnych zmian na stronie.
• Atakujący wdrożyli także wtyczki z adware pokazujące użytkownikom fałszywą captchę i wysyłające powiadomienia.
• Nawet zaufane rozszerzenia mogą stać się wektorem ataku – ogranicz ich liczbę w swojej przeglądarce.

A środowisko takie musi być wygodne, prawda? Użytkownicy chętnie instalują więc wiele wtyczek, które mają ułatwić i usprawnić pracę w przeglądarce. Jednak niektóre pluginy robią trochę więcej, niż powinny, a artykuły o nich zaczynają tworzyć nową Modę na sukces.

Badacze bezpieczeństwa z LayerX odkryli kampanię, w ramach której wiele nieszkodliwych rozszerzeń do Chrome (a więc także innych opartych na Chromium przeglądarek Edge, Brave, Opera czy Vivaldi) otrzymało złośliwe aktualizacje. I zdaje się, że nie jest to typowy atak na łańcuch dostaw, w którym atakujący przejęliby konta twórców wtyczek, żeby wprowadzić swój kod. Wszystko wskazuje na to, że wtyczki zostały po prostu wykupione (po co atakować twórców, skoro wystarczy zapłacić ;)

Chociaż rozszerzenia wyglądały na nieszkodliwe i nie żądały żadnych specjalnych uprawnień, zostały zmodyfikowane tak, aby regularnie pobierać plik konfiguracyjny z serwera atakujących. Pozwalało to dynamicznie wstrzykiwać treści na wyświetlanych stronach oraz manipulować nimi bez konieczności ciągłych aktualizacji wtyczki w Web Store (wystarczył jednorazowy update do złośliwej wersji). Ewentualna zmiana konfiguracji musiała pojawić się jedynie na serwerze C2 (Command & Control), a rozszerzenia wdrażały ją same.

Badacze ustalili, że złośliwe funkcjonalności były wprowadzane natychmiast po zmianie właściciela w Chrome Web Store. Równolegle (krótko przed opublikowaniem aktualizacji) rejestrowane były domeny dla serwerów C2 używane później do dostarczania dynamicznej konfiguracji. Zbieżność rejestracji takich domen ze zmianami w kodzie po przejęciu wtyczek wskazuje, że działo się to w ramach skoordynowanej kampanii, a nie były to pojedyncze incydenty.

Chociaż badane rozszerzenia służyły pierwotnie do zupełnie różnych celów, złośliwy kod działał we wszystkich praktycznie tak samo. Przede wszystkim, każda wtyczka co 5 minut pobierała plik konfiguracyjny (config.php / theme.php) z serwera C2.

Plik ten definiował m.in.:

• strony internetowe, które modyfikowano
• elementy DOM, które miały zostać zmienione
• adres URL payloadu, który miał zostać wstrzyknięty

Ponieważ dane te pochodzą z domen kontrolowanych przez atakujących, zachowanie rozszerzeń może zostać zmienione w każdej chwili, bez żadnej aktualizacji w Chrome Web Store (a więc niezauważalnie dla użytkownika).

Wtyczki dla pobranych parametrów podmieniały elementy / parametry w DOM (Document Object Model) zdefiniowanych w konfiguracji stron:

Rozszerzenia wykorzystywały te reguły do pobierania treści kontrolowanych przez atakujących i bezpośredniego wstrzykiwania ich do stron internetowych:

Pozwala to m.in. na:

• przekierowanie (prawdziwych) formularzy logowania do domeny atakujących (de facto możliwość pozyskania loginu i hasła ofiary)
• modyfikację stron finansowych / sklepów
• wstrzyknięcie reklam / skryptów śledzących
• modyfikację treści artykułów / nagłówków / wpisów w social mediach

Aby zapewnić, że modyfikacje nie mogą zostać cofnięte przez witrynę (np. w sytuacji, gdy treść jest dynamicznie wstawiana przez framework frontendowy), rozszerzenie używa MutationObserver. Jest to API do wykrywania zmian w DOM. Dzięki temu treści dostarczane przez atakujących są wprowadzane za każdym razem, gdy oryginalna treść strony się aktualizuje.

Po sprawdzeniu historycznych danych z Chrome Web Store całość tworzyła spójny schemat – rozszerzenia były nieszkodliwe aż do zmiany właściciela. Przed wprowadzeniem zmian wtyczki zawierały deklarowane przez twórców funkcjonalności i nie korzystały ze zdalnych plików konfiguracyjnych ani nie modyfikowały DOM.

Badacze zebrali te zbieżności czasowe w tabeli:

ID rozszerzenia	Zmiana właściciela	Rejestracja domeny C2	Wydanie złośliwej aktualizacji
kbaofbaehfbehifbkhplkifihabcicoi	2025-07-19	2025-07-27	2025-07-30
ijhbioflmfpgfmgapjnojopobfncdeif	2025-07-23	2025-08-20	2025-08-27
nimnhhcainjoacphlmhbkodofenjgobh	2025-07-19	2025-08-20	2025-08-22
jleonlfcaijhkgejhhjfjinedgficgaj	2025-04-14	2025-08-22	2025-08-26
pgfjnclkpdmocilijgalomiaokgjejdm	2025-07-19	2025-08-13	2025-08-16
eekibodjacokkihmicbjgdpdfhkjemlf	2025-09-21	2025-09-23	2025-09-25
ggjlkinaanncojaippgbndimlhcdlohf	2024-09-25	2024-09-30	2024-10-11
ncbknoohfjmcfneopnfkapmkblaenokb	2024-12-13	2025-02-03	2025-02-07

Najprawdopodobniej w tej kampanii atakujący zwyczajnie wybierali rozszerzenia o dużej liczbie instalacji i kupowali je od dotychczasowych twórców, by następnie wdrożyć złośliwą aktualizację, którą zainstaluje wielu użytkowników. 

W grudniu badacze zidentyfikowali kilka kolejnych wtyczek, które także stały się złośliwe, ale nieco inaczej niż poprzednie. Zamiast malware wdrożono w nich adware.Rozszerzenia początkowo spełniały tylko swoją pierwotną funkcję. Jednak zaczęły pobierać również konfigurację z serwera C2. Plik ten zawierał listę domen, dla których rozszerzenie miało wyświetlać fałszywą “captchę”.

Gdy użytkownik odwiedzał jedną z tych domen, natychmiast wyświetlany był komunikat informujący o weryfikacji (“captcha”).

Choć całość udaje Cloudflare Turnstile, kliknięcie tak naprawdę przekierowuje ofiarę do kolejnej strony. Ta z kolei rejestruje service worker i wysyła dane o urządzeniu, przeglądarce i systemie operacyjnym użytkownika do domeny pushtorm[.]net. Następnie użytkownik jest proszony o wyrażenie zgody na powiadomienia.

Po ich przyznaniu rozszerzenie zaczyna wysyłać reklamy za pośrednictwem tych właśnie powiadomień, działając jak typowe adware.

Ta kampania jest kolejnym dowodem na to, jak nawet znane i zaufane wtyczki mogą stać się złośliwe. Powodem może być atak na łańcuch dostaw (jak np. w przypadku Trust Wallet, o którym niedawno pisaliśmy), ale też po prostu… wykupienie wtyczki przez atakujących. 

Każde zainstalowane w przeglądarce rozszerzenie może stać się wektorem ataku. Główną poradą będzie więc minimalizacja liczby rozszerzeń. Dodatkowo warto rozważyć instalację specyficznych wtyczek (np. służących tylko do pobierania czy wyodrębnienia danych) w osobnej przeglądarce tylko do tego celu (co ograniczy skutki części ataków do miejsc, w których używaliśmy wtyczki). Pomóc może też wykonywanie wrażliwych operacji (np. płatności, logowanie do banku, ePUAP) w trybie incognito, gdzie wtyczki domyślnie nie mają dostępu.

Źródło: layerxsecurity.com

~Tymoteusz Jóźwiak