🔥 Как хакеры взломали десятки Chrome-расширений с базой пользователей в 2.6 млн человек

Хакеры взломали 35 расширений для Chrome, которыми пользуются около 2.6 млн человек.

Целью фишинговой кампании стали разработчики, которые через поддельные письма перенаправлялись на мошенническую авторизацию OAuth.

Атаку обнаружили в декабре 2024 года, но первая активность прослеживалась ещё в марте.

Механизм атаки

1. Фишинговые письма: Разработчикам отправляли сообщения с доменов, имитирующих поддержку Google, с якобы нарушениями политик Chrome Web Store.
2. OAuth-обман: Кнопка в письме вела на Google OAuth-страницу, где предлагалось предоставить доступ к управлению расширениями через приложение Privacy Policy Extension.
3. Получение контроля: После одобрения, злоумышленники вносили изменения в расширения, добавляя вредоносный код.

Зловредный код и его цели

Хакеры внедряли скрипты worker.js и content.js, предназначенные для кражи данных пользователей *Facebook (принадлежит Meta, которую признали экстремистской организацией в РФ).

Код собирал идентификаторы, токены доступа и информацию о бизнес-аккаунтах, а также обходил двухфакторную аутентификацию через анализ QR-кодов.

Целью были бизнес-аккаунты для:

• запуска дезинформационных кампаний;
• кражи средств через прямые платежи;
• продажи доступов к аккаунтам.

Уязвимости системы

Атака продемонстрировала слабости в системе защиты Chrome Web Store.

Даже двухфакторная аутентификация не помогла, поскольку OAuth-процесс не требовал дополнительного подтверждения. Пользователи обновляли заражённые расширения автоматически.

Как защититься?

• Проверить установленные расширения и удалить подозрительные.
• Ограничить доступ к аккаунтам через подключённые приложения.
• Сообщить о вредоносном контенте через официальные каналы Google.