Атаки ShadyPanda и GhostPoster: как миллионы пользователей пострадали от обновлений легитимных расширений

Исследователи из Висконсинского университета в Мадисоне обнаружили критическую проблему безопасности в механизме взаимодействия браузеров с расширениями. Установлено, что дополнения могут получать доступ к паролям и другим конфиденциальным данным, вводимым на веб-сайтах, даже при соблюдении новейшего стандарта безопасности Google Manifest V3.

Команда проанализировала более 7000 веб-ресурсов и выяснила, что около 15% из них хранят чувствительную информацию (пароли, номера кредитных карт, номера социального страхования) непосредственно в HTML-коде страницы в виде простого текста.

Механизм перехвата данных

Проблема кроется в обработке объектной модели документа (DOM) — структуры, представляющей содержимое веб-страницы. Когда пользователь вводит пароль, браузер сохраняет это значение в элементе DOM. Любое расширение с соответствующими разрешениями может считать эти данные.

Злоумышленники используют три основных метода эксплуатации уязвимости:

• Кейлоггинг (перехват нажатий клавиш).

• Прямой доступ к исходному коду HTML для извлечения сохраненных значений.

• Злоупотребление DOM API для извлечения данных из полей ввода в реальном времени.

Последний метод наиболее опасен, так как он обходит визуальную маскировку (точки или звездочки), скрывающую пароль на экране, но не в программном коде.

Подобная архитектура браузеров намеренна: она необходима для корректной работы менеджеров паролей. Однако отсутствие границы безопасности между расширениями и контентом страницы в стандарте Manifest V3 оставляет лазейку для вредоносного ПО. В качестве доказательства исследователи создали расширение, замаскированное под ИИ-ассистента, которое успешно прошло модерацию в интернет-магазине Chrome Web Store.

Крупные кампании по краже данных

Пользователи часто предоставляют расширениям разрешение «Просмотр и изменение данных на всех сайтах», не осознавая рисков. Ситуация осложняется тем, что легитимные дополнения могут стать вредоносными спустя годы безупречной работы.

Кампания ShadyPanda Действует с 2018 года. Злоумышленники скомпрометировали около 4,3 млн пользователей Chrome и Edge, выпуская вредоносные обновления для ранее безопасных расширений. Некоторые надстройки работали корректно до семи лет перед внедрением вредоносного кода.

Инцидент с WeTab Расширение для создания новых вкладок в Microsoft Edge с аудиторией более 3 млн пользователей и высоким рейтингом внедряло вредоносные ссылки и отправляло данные о просмотренных страницах на серверы в Китае.

Другие значимые утечки:

• MEGA.nz (2018): Взломанное расширение в течение четырех часов передавало злоумышленникам логины, пароли и ключи от криптовалютных кошельков. Пострадало около 1,6 млн пользователей.

• CyberHaven (2024): Расширение было захвачено через фишинговую атаку OAuth и использовалось для эксфильтрации файлов cookie, токенов сессий и данных рекламных аккаунтов Facebook у 400 000 пользователей.

• Trust Wallet: Аналогичный взлом привел к хищению криптовалюты на сумму около 7 млн долларов.

Угрозы для пользователей Firefox

Смена браузера не гарантирует безопасность. Недавняя кампания DarkSpectre (операция GhostPoster) атаковала пользователей Firefox. Злоумышленники скрывали вредоносный JavaScript внутри PNG-изображений, используя стеганографию. Зараженные расширения имели более 840 000 загрузок, некоторые из них оставались активными до пяти лет.

Mozilla удалила опасные надстройки и отключила их в браузерах пользователей. Однако в Chrome и Edge удаление скомпрометированных расширений, участвовавших в кампании, требует ручного вмешательства пользователя.

Рекомендации по защите

Эксперты советуют минимизировать количество установленных дополнений. Перед установкой необходимо проверять репутацию разработчика и обоснованность запрашиваемых прав доступа.

Современные браузеры (например, Chrome) уже имеют встроенные функции, заменяющие популярные сторонние инструменты: менеджер паролей, переводчик страниц, список для чтения и создание скриншотов. Использование нативных инструментов сокращает поверхность атаки.

Для защиты учетных записей рекомендуется переходить на ключи доступа (Passkeys) там, где это возможно. Технология Passkeys исключает ввод символов, что делает перехват через DOM невозможным. Также следует включить двухфакторную аутентификацию. Внезапное открытие вкладок с рекламой казино или партнерскими ссылками часто служит индикатором компрометации установленного расширения.