Google удалила 32 вредоносных расширения из Chrome Web Store, эти аддоны были загружены 75 миллионами раз.
Авторы приложений и расширений для браузера добавили легитимную функциональность, чтобы обмануть людей, но вредоносная нагрузка скрывалась в обфусцированном коде.
Один из исследователей кибербезопасности, Владимир Палант, изучил один из аддонов с двумя миллионами загрузок и обнаружил злонамеренный код, который мог вставлять произвольный JavaScript-код на посещаемые пользователем сайты. Это позволяло злоумышленникам использовать различные методы, от внедрения рекламы до кражи конфиденциальной информации.
Интересно, что для Паланта оставалось загадкой, какую функциональность имело данное расширение, поскольку вредоносная активность не проявилась. Тем не менее, он отметил, что это расширение начинало работу только спустя 24 часа после установки, сообщает портал TechRadar.
Позже Палант сообщил, что нашел тот же код в 18 других Chrome-расширениях, которые были загружены больше чем 55 миллионами раз. Эти аддоны включают Autoskip for Youtube, Soundboost, Crystal Ad block, Brisk VPN, Clipboard Helper и Maxi Refresher. На момент написания поста Паланта все эти расширения были доступны для загрузки через Chrome Web Store.
Пользователи этих расширений жаловались на редиректы и перехваты поисковой выдачи. Также было обнаружено еще два варианта подозрительного кода, которые использовали домен serasearchtop . com для инъекции JavaScript-кода. Один из них маскировался под Mozilla WebExtension API Polyfill, а другой — под библиотеку Day.js.