Когда компания Socket опубликовала технический разбор 108 вредоносных расширений для Chrome, больше всего удивил не сам факт их существования, а то, насколько тщательно выстроена инфраструктура за ними. Это не отдельные «плохие» приложения — это координированная кампания с единым командным сервером, монетизацией через перепродажу и, судя по коду, русскоязычными авторами.
Три разные атаки в одном пакете
Исследователь Socket Куш Пандья обнаружил, что 54 расширения крадут OAuth2-токен Google в момент входа в аккаунт и отправляют профиль пользователя на сервер злоумышленника. Ещё 45 расширений содержат универсальный бэкдор: как только браузер запускается, они могут открыть любой URL-адрес без ведома пользователя.
Наиболее острый случай — расширение Telegram Multi-account. По данным Cybernews со ссылкой на отчёт Socket, оно каждые 15 секунд читало активную сессию Telegram Web и отправляло её на контролируемый злоумышленником сервер. Этого достаточно, чтобы получить полный доступ к переписке и контактам — без пароля и без обхода двухфакторной аутентификации.
«Все 108 маршрутизируют украденные учётные данные, идентификаторы пользователей и данные просмотра на серверы, контролируемые одним оператором.»
— Куш Пандья, исследователь Socket
Пять «разных» разработчиков — одна рука
Расширения размещены под пятью отдельными идентификаторами издателей: Yana Project, GameGen, SideGames, Rodeo Games и InterAlt. Маскировка под разных авторов — стандартная техника, которая затрудняет выявление кластера по репутации учётной записи. Однако, как отмечает BleepingComputer, весь трафик шёл на один VPS-сервер Contabo с несколькими поддоменами для разных функций: сбор сессий, выполнение команд, монетизация.
Именно монетизация — самый тревожный элемент. Инфраструктура поддерживает модель Malware-as-a-Service (MaaS): украденные данные и активные сессии могли перепродаваться третьим лицам. В исходном коде Socket нашли комментарии на русском языке — в частности в логике аутентификации и кражи сессий.
Как это прошло проверку Google
Пять расширений использовали Chrome API declarativeNetRequest, чтобы удалять заголовки безопасности (Content Security Policy, X-Frame-Options, CORS) ещё до загрузки страницы. Это позволяло внедрять рекламные оверлеи и гемблинг-баннеры даже на YouTube и TikTok. Большинство расширений при этом действительно выполняли заявленную функцию — игры, переводчик, Telegram-клиент — что делало их трудно отличимыми от легитимных.
Всего расширения установили примерно 20 000 раз. Расширение Telegram Multi-account содержало вредоносный код минимум с 15 февраля 2025 года — то есть более года до обнаружения.
- Проверьте список всех 108 расширений в отчёте Socket и удалите их немедленно
- После удаления — принудительный выход из аккаунтов Google и Telegram во всех сессиях
- В Telegram: Настройки → Устройства → завершить все активные сессии
- В Google: myaccount.google.com → Безопасность → Ваши устройства
Настоящий вопрос не в том, удалит ли Google эти 108 расширений — он удалит. Вопрос в том, изменится ли процесс проверки Chrome Web Store настолько, чтобы следующая кампания с единым C2-сервером за пятью аккаунтами не продержалась год незамеченной. Если нет — следующий список будет длиннее.
