Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Малициозни екстензии во Chrome Web Store крадат кориснички акредитиви

Објавено: 24.12.2025

Две Chrome екстензии во Web Store со име „Phantom Shuttle“ се претставуваат како приклучоци за proxy услуга со цел да го преземат корисничкиот сообраќај и да украдат чувствителни податоци.

Двете екстензии сè уште се присутни во официјалниот пазар на Chrome во моментот на пишување и се активни најмалку од 2017 година, според извештај од истражувачи на платформата за безбедност на supply-chain Socket.

Целната публика на Phantom Shuttle се корисници во Кина, вклучувајќи и работници во надворешна трговија на кои им е потребно да тестираат поврзаност од различни локации во земјата. Двете екстензии се објавени под исто име на развивач и се промовираат како алатки што можат да проксираат сообраќај и да ја тестираат брзината на мрежата. Тие се достапни преку претплата во износ од 1,4 до 13,6 американски долари.

Екстензијата Phantom Shuttle на Web Store

Скриена функционалност за кражба на податоци

Истражувачите од Socket.dev наведуваат дека Phantom Shuttle го насочува целиот веб-сообраќај на корисниците преку proxy сервери контролирани од заканувачкиот актер, достапни преку однапред вградени (hardcoded) акредитиви. Кодот што го овозможува ова е додаден пред легитимната jQuery библиотека.

Малициозниот код ги крие вградените proxy акредитиви со користење на сопствена шема за енкодирање базирана на индекси на карактери. Преку слушач за веб-сообраќај, екстензиите можат да пресретнуваат HTTP автентикациски предизвици на секоја веб-страница.

За автоматски да го насочат корисничкиот сообраќај преку proxy серверите на напаѓачот, малициозните екстензии динамички ги реконфигурираат proxy поставките на Chrome користејќи авто-конфигурациска скрипта.

Во стандардниот „smarty“ режим, преку proxy мрежата се насочуваат повеќе од 170 домени со висока вредност, вклучувајќи платформи за развивачи, конзоли за cloud услуги, социјални мрежи и портали со содржина за возрасни.

На листата за исклучување се локалните мрежи и доменот за command-and-control, со цел да се избегнат прекини и откривање.

Додека дејствува како man-in-the-middle, екстензијата може да собира податоци од било која форма (акредитиви, податоци за картички, лозинки, лични информации), да краде session cookies од HTTP header-и и да извлекува API токени од барањата.

BleepingComputer го контактирал Google во врска со тоа што екстензиите сè уште се присутни во Web Store, но коментар не бил веднаш достапен.

На корисниците на Chrome им се препорачува да им веруваат само на екстензии од реномирани издавачи, да проверуваат повеќе кориснички рецензии и внимателно да обрнат внимание на дозволите што се бараат при инсталација.

Извори:

  • Bleeping Computer – Malicious extensions in Chrome Web store steal user credentials Bleeping Computer