Chrome екстензија станува злонамерна по пренос на сопственост, овозможува вметнување код и кражба на податоци

Објавено: 10.03.2026

Две екстензии за Google Chrome станале злонамерни по она што изгледа како пренос на сопственоста на екстензијата, што им овозможува на напаѓачите да испорачуваат малвер до корисниците, да вметнат произволен код и да собираат чувствителни податоци.

Екстензиите за кои станува збор, првично поврзани со развивачот “akshayanuonline@gmail.com” (BuildMelon), се следните:

QuickLens – Search Screen with Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) – околу 7.000 корисници
ShotBird – Scrolling Screenshots, Tweet Images & Editor (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – околу 800 корисници

Додека QuickLens повеќе не е достапна за преземање од Chrome Web Store, ShotBird сè уште е достапна во моментот на пишување.

ShotBird првично беше објавена во ноември 2024 година, а нејзиниот развивач Akshay Anu S (@AkshayAnuOnline) тврдеше на платформата X дека екстензијата е наменета за креирање професионални, студиски визуелни содржини, и дека сета обработка се извршува локално на компјутерот на корисникот.

Според истражување објавено од monxresearch-sec, оваа екстензија добила ознака “Featured” во јануари 2025 година, пред да биде пренесена на друг развивач (“loraprice198865@gmail.com”) некаде во текот на минатиот месец.

Слично на тоа, QuickLens била ставена на продажба на ExtensionHub на 11 октомври 2025 година од “akshayanuonline@gmail.com”, само два дена по нејзиното објавување, според истражувачот John Tuckner од Annex Security.

На 1 февруари 2026 година, сопственикот на екстензијата се променил во “support@doodlebuggle.top” на страницата на Chrome Web Store.

Злонамерна надградба

Злонамерното ажурирање додадено во QuickLens на 17 февруари 2026 година ја задржало оригиналната функционалност, но додало можности да:

ги отстранува безбедносните HTTP headers (на пример X-Frame-Options) од секој HTTP одговор
овозможи злонамерни скрипти вметнати во веб страница да прават произволни барања кон други домени

На овој начин се заобиколуваат заштитите на Content Security Policy (CSP).

Дополнителни злонамерни функции

Екстензијата исто така содржела код кој може да:

ја идентификува државата на корисникот
го детектира прелистувачот и оперативниот систем
на секои 5 минути контактира надворешен сервер за да преземе JavaScript код

Овој JavaScript код се:

зачувува во local storage на прелистувачот
се извршува секогаш кога се отвора веб страница

Извршувањето се прави со додавање скриен 1×1 GIF <img> елемент, при што JavaScript кодот се поставува како “onload” атрибут на сликата.

Кога сликата ќе се вчита, злонамерниот код автоматски се извршува.

„Вистинскиот злонамерен код никогаш не се појавува во изворните датотеки на екстензијата,“ објасни John Tuckner. „Статичката анализа покажува само функција која креира image елементи. Тоа е сè. Payload-ите се испорачуваат од C2 серверот и се зачувуваат во local storage – тие постојат само за време на извршувањето (runtime).“

Слична анализа на екстензијата ShotBird, направена од monxresearch-sec, открила дека наместо да користи 1×1 пиксел слика за активирање на кодот, користи директни callback повици за испорака на JavaScript код.

Овој JavaScript е дизајниран да прикаже лажен прозорец за ажурирање на Google Chrome. Кога корисникот ќе кликне на него, се отвора страница од типот ClickFix, која го наведува корисникот да:

го отвори Windows Run дијалогот
да стартува cmd.exe
да залепи PowerShell команда

Како резултат на тоа, на Windows системите се презема извршна датотека со име: googleupdate.exe.

Малверот потоа продолжува да се прикачува (hook) на HTML елементите input, textarea и select, и да ги снима сите податоци што ги внесува жртвата. Ова може да вклучува:

кориснички имиња и лозинки
PIN кодови
податоци од банкарски картички
токени
државни идентификациски броеви

Исто така, малверот може да извлекува податоци зачувани во Chrome прелистувачот, како што се:

зачувани лозинки
историја на пребарување
информации поврзани со инсталирани екстензии

Истражувачот изјави:

„Ова е двостепен синџир на злоупотреба: далечинска контрола на прелистувачот преку екстензијата плус извршување на код на самиот компјутер преку лажни ажурирања.“

„Резултатот е висок ризик од изложување на податоци во прелистувачот и потврдено извршување на скрипти на системот на барем еден погоден уред. Во практична смисла, ова го подига влијанието од злоупотреба само во прелистувачот на веројатна кражба на креденцијали и поширока компромитација на системот.“

Се проценува дека истиот напаѓач стои зад компромитирањето на двете екстензии, и дека ги управува паралелно. Ова се заклучува врз основа на:

користење идентична C2 (command-and-control) инфраструктура
употреба на ClickFix мамки вметнати во прелистувачот
пренос на сопственоста на екстензијата како метод за инфицирање.

Интересно е што оригиналниот развивач на екстензијата има објавено уште неколку екстензии под своето име на Chrome Web Store, и сите тие добиле “Featured” ознака. Развивачот има и профил на ExtensionHub, иако моментално таму нема екстензии што се нудат на продажба. Покрај тоа, лицето се обидело да продаде домени како “AIInfraStack[.]com” за 2.500 долари, наведувајќи дека тоа е „домен со силен клучен збор“ кој е „релевантен за брзо растечкиот AI екосистем“.

Компанијата Annex Security изјави:
„Ова е проблемот со supply chain кај екстензиите во најчиста форма. Една ‘Featured’, проверена и функционална екстензија ја менува сопственоста, а новиот сопственик испраќа злонамерно ажурирање до сите постоечки корисници.“

Ова откритие доаѓа во период кога Microsoft предупреди за злонамерни екстензии базирани на Chromium кои се претставуваат како легитимни AI асистент алатки, со цел да собираат:

историја од разговори со LLM модели
податоци од прелистување

Истражувачкиот тим Microsoft Defender Security Research Team изјави:

„Во голем обем, оваа активност претвора навидум доверлива продуктивна екстензија во постојан механизам за собирање податоци вграден во секојдневното користење на прелистувачот во компаниите. Ова го нагласува растечкиот ризик што го претставуваат browser екстензиите во корпоративните средини.“

Во последните недели, истражувачи откриле и злонамерна Chrome екстензија наречена lmΤoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi), која го имитира крипто паричникот imToken, додека се рекламира како алатка за визуелизација на hex бои во Chrome Web Store, со цел да краде seed фрази за криптовалути преку phishing пренасочувања.

Истражувачот Kirill Boychenko од компанијата Socket изјави:

„Наместо да ја обезбеди безопасната алатка што ја ветува, екстензијата автоматски отвора phishing страница контролирана од напаѓачите веднаш по инсталацијата, и повторно секогаш кога корисникот ќе кликне на неа.“

При инсталација, екстензијата презема destination URL од hardcoded JSONKeeper endpoint (jsonkeeper[.]com/b/KUWNE) и отвора таб кој води кон домен што имитира Chrome Web Store:

chroomewedbstorre-detail-extension[.]com

Почетната страница го имитира imToken користејќи homoglyph знаци (слични букви од различни писма) и ги наведува жртвите да внесат:

12 или 24 зборна seed фраза
private key

Истражувачи од Unit 42 откриле и други злонамерни екстензии кои прават affiliate hijacking и кражба на податоци. Една од нив – Chrome MCP Server – AI Browser Control (ID: fpeabamapgecnidibdmjoepaiehokgda) – функционира како целосен Remote Access Trojan (RAT), додека се претставува како AI automation алатка која користи Model Context Protocol (MCP).

Истражувачите од Unit 42 исто така откриле дека три популарни Chrome екстензии повторно се достапни во Chrome Web Store, иако претходно биле отстранети поради крадење разговори со AI чатботи, вклучувајќи:

ChatGPT
Claude
Microsoft Copilot
DeepSeek
Google Gemini
Grok
Meta AI
Perplexity AI

Екстензиите се:

Urban VPN Proxy
Urban Browser Guard
Urban Ad Blocker

Истражувачите изјавија дека по јавната објава на кампањата на 15 декември 2025, развивачот објавил безбедни верзии во јануари 2026, најверојатно како реакција на извештајот.

Покрај тоа, компанијата за сајбер-безбедност идентификувала екстензија наречена Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), која има повеќе од 100.000 корисници, а нејзината претходна верзија комуницирала со познати мрежни индикатори поврзани со кампања наречена RedDirection, која се користела за browser hijacking.

Дополнително, откриена е нова кампања со повеќе од 30.000 домени која иницира redirect chain за пренасочување на сообраќајот кон страница:

ansiblealgorithm[.]com

Оваа страница се користи за дистрибуција на Chrome екстензијата OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).

Екстензијата користи chrome_settings_overrides API за да ги измени поставките на Chrome:

ја поставува home page на omnibar[.]ai
го менува default search provider на:

go.omnibar[.]ai/?api=omni&sub1=omnibar.ai&q={searchTerms}

Со ова се следат сите пребарувања на корисникот.

Се верува дека крајната цел е browser hijacking како дел од голема affiliate marketing шема, според Unit 42. Истражувачите идентификувале уште две екстензии со исто однесување:

AI Output Algo Tool (ID: eeoonfhmbjlmienmmbgapfloddpmoalh)
Serpey.com official extension (ID: hokdpdlchkgcenfpiibjjfkfmleoknkp)

Подлабока анализа на уште три екстензии објавени од истиот развивач (jon@status77.com, познат како Status 77) покажала дека:

две од нив ја следат активноста на прелистување на корисникот за да вметнуваат affiliate маркери
третата извлекува и испраќа Reddit коментари на корисникот кон API сервер контролиран од развивачот

Овие екстензии се:

Care.Sale (ID: jaioobipjdejpeckgojiojjahmkiaihp)
Giant Coupons Official Extension (ID: akdajpomgjgldidenledjjiemgkjcchc)
Consensus – Reddit Comment Summarizer (ID: mkkfklcadlnkhgapjeejemflhamcdjld)

На корисниците кои имаат инсталирано некоја од овие екстензии им се препорачува:

веднаш да ги отстранат од прелистувачот
да избегнуваат side-loading или инсталирање непроверени екстензии
да ги прегледаат сите инсталирани екстензии и да ги отстранат непознатите.

Извори:

The Hacker News – Chrome Extension Turns Malicious After Ownership Transfer, Enabling Code Injection and Data Theft The Hacker News