Масштабна кампанія VK Styles, виявлена фахівцями компанії Koi Security, продемонструвала, наскільки вразливою може бути екосистема браузерних розширень. П’ять шкідливих плагінів для Google Chrome, замаскованих під інструменти кастомізації інтерфейсу «ВКонтакте», непомітно втручалися в роботу акаунтів щонайменше 500 000 користувачів.
Масштаби кампанії VK Styles та цільова аудиторія атаки
За даними дослідження, оператори кампанії розгорнули п’ять розширень Chrome, орієнтованих саме на користувачів «ВКонтакте». Сумарно вони набрали понад 500 000 встановлень, при цьому найпопулярніше з них — під назвою VK Styles — отримало більше ніж 400 000 інсталяцій.
Головною метою зловмисників було просування великого співтовариства VK і створення стійкої бази для подальшої монетизації та потенційних атак. Під удар потрапила насамперед російськомовна аудиторія з країн Східної Європи, Центральної Азії та діаспор в інших регіонах. Попри те, що одне з розширень у 2024 році вже видаляли з Chrome Web Store, оператор кампанії швидко публікував нові варіанти й продовжував активність.
Як працювали шкідливі розширення для «ВКонтакте»
У Chrome Web Store розширення виглядали цілком легітимно: обіцяли нові теми, додаткові функції та покращення інтерфейсу VK. Насправді ж код розширення інжектував на кожну відкриту сторінку скрипти контекстної реклами «Яндекса» та сторонній JavaScript, який і відповідав за шкідливу активність.
Обфускація коду та ускладнення аналізу
Особливо показовою стала реалізація ID лічильника «Яндекс.Метрики»: він обчислювався динамічно за формулою на кшталт ‘R-A-‘ + 843079 * 2. Такий підхід ускладнює статичний аналіз розширення та дозволяє обходити прості механізми автоматичної перевірки коду.
Інфраструктура керування: профіль VK та GitHub як прихований C2
Ключовим елементом інфраструктури був профіль vk[.]com/m0nda, який виконував роль замаскованого керівного сервера (C2). Розширення зчитувало HTML-метатеги цієї сторінки, де були закодовані посилання на GitHub та сервіси «Яндекса», звідки підвантажувався основний шкідливий JavaScript.
Атрибуція кампанії вказує на зловмисника під ніком 2vk. На його GitHub-акаунті виявлено репозиторій із мінімалістичною назвою «-» та файлом «C» — це обфусцований JavaScript, який інжектувався на кожну сторінку «ВКонтакте», відкриту жертвою. Аналіз 17 комітів із червня 2025 по січень 2026 року показав послідовну еволюцію малварі: від роботи з CSRF-cookie до реалізації автопідписки, скидання налаштувань і взаємодії з VK Donut API.
Маніпуляції акаунтами: автопідписка, скидання налаштувань та робота з cookie
Одна з ключових функцій VK Styles — прихована автопідписка користувачів на групу зловмисників VK Styles (ID VK -168874636), де налічується близько 1,4 млн учасників. Під час кожного відвідування «ВКонтакте» шкідливий код з імовірністю близько 75% автоматично оформлював підписку на це співтовариство, а після ручної відписки — з подібною ймовірністю повторював операцію.
Ще одна можливість малварі — регулярне втручання в налаштування профілю. Приблизно раз на 30 днів розширення скинувало конфігурацію, змінювало сортування новинної стрічки на режим «Нещодавні» і переозначало частину кастомних параметрів. Це дозволяло зберігати контроль над тим, як користувач взаємодіє з платформою.
CSRF-cookie «ВКонтакте» як ціль для спрощення атак
Окрему увагу дослідники звернули на роботу коду з CSRF-cookie соцмережі, зокрема з файлом cookie remixsec_redir. Механізм CSRF-токенів покликаний захищати від виконання несанкціонованих дій від імені користувача. Доступ до таких cookie потенційно спрощує побудову ланцюжків запитів, які імітують цілком легітимні дії в інтерфейсі «ВКонтакте».
Монетизація через VK Donut і ефект соціального доказу
Модель заробітку в рамках кампанії VK Styles була побудована навколо платних функцій розширення. За допомогою VK Donut API скрипт перевіряв, чи є користувач донатором групи VK Styles, і, залежно від цього, надавав обмежений або повний набір можливостей.
У результаті частина людей фактично платила за розширення, яке саме порушувало безпеку їхнього акаунта: насильно підписувало на співтовариство й регулярно змінювало налаштування профілю. Велика кількість підписників (1,4 млн) створювала потужний ефект соціального доказу, підвищуючи довіру до групи та нібито «корисних» функцій кастомізації.
Автоматичні оновлення розширень Chrome як вектор ризику
Один із найважливіших висновків цього інциденту стосується небезпеки автоматичних оновлень браузерних розширень. Отримавши базу у сотні тисяч установок (у цьому випадку — близько 500 000 пристроїв), оператор може будь-якої миті розгорнути більш небезпечну версію коду без участі користувачів. Кампанія VK Styles, за наявними даними, обмежилася маніпуляціями акаунтами, без прямого викрадення паролів чи персональних даних, однак архітектура атаки дає змогу реалізувати значно агресивніші сценарії.
Ситуація навколо VK Styles показує, наскільки вразливою є екосистема шкідливих розширень Chrome і як легко легітимні платформи — VK, GitHub, рекламні мережі — можуть бути використані як інфраструктура управління та доставки малварі. Щоб знизити ризики, користувачам варто обмежувати кількість установлених розширень, перевіряти репутацію розробника, уважно читати список запитуваних дозволів і реагувати на будь-яку аномальну поведінку акаунта.
Організаціям доцільно запроваджувати політики whitelist для розширень, використовувати централізовані корпоративні налаштування Chrome та регулярно моніторити інциденти, пов’язані з плагінами. Перевірка вже встановлених розширень, видалення зайвих і підвищення цифрової гігієни — прості кроки, які суттєво зменшують шанси стати жертвою подібних кампаній у майбутньому.
