Два розширення Google Chrome, яким раніше довіряли тисячі користувачів, — QuickLens та ShotBird — після зміни власників були перетворені на інструменти атак. Вони почали виконувати довільний код, збирати конфіденційні дані та доставляти шкідливе ПЗ через обманні повідомлення про «оновлення» браузера, що демонструє серйозні ризики ланцюга постачання браузерних розширень.
QuickLens: втручання в HTTP-трафік і віддалене виконання коду
Спочатку QuickLens працювало як легітимний інструмент для швидкого пошуку зображень через Google Lens і було встановлене приблизно у 7000 користувачів. Уже за два дні після публікації розробник виставив проєкт на продаж, а 1 лютого 2026 року власником став обліковий запис [email protected]. Після цього, за даними Annex Security, розширення отримало оновлення з прихованою шкідливою логікою.
Видалення захисних HTTP-заголовків та обхід політики безпеки вмісту
Оновлення від 17 лютого 2026 року зберегло основний функціонал QuickLens, але додало можливість маніпуляції HTTP-заголовками. Розширення почало видаляти захисні заголовки, включно з X-Frame-Options, які сайти використовують для захисту від атак на кшталт clickjacking та обмеження вбудовування сторінок в iframe.
Прибирання X-Frame-Options та пов’язаних механізмів послаблює Content Security Policy (CSP). У результаті зловмисник отримує можливість вбудовувати на відвідувані сторінки сторонні скрипти та фактично організовувати віддалене виконання коду у браузері користувача без його відома.
Динамічне завантаження JavaScript-пейлоадів і прихована телеметрія
За інформацією Annex Security, модифіковане QuickLens почало збирати технічну телеметрію: країну, тип операційної системи, версію браузера. Кожні п’ять хвилин розширення звертається до зовнішнього керувального сервера по новий JavaScript-пейлоад, який потім виконується в контексті відкритих сторінок.
Критично важливо, що шкідливий код не зберігається у вихідних файлах розширення. Натомість він динамічно завантажується з сервера, кешується в localStorage і виконується на льоту. Такий підхід ускладнює статичний аналіз у Chrome Web Store, дозволяє гнучко змінювати функціональність без нових релізів і робить виявлення атаки значно складнішим як для користувачів, так і для засобів захисту.
ShotBird: фальшиве оновлення Chrome та встановлення інфостілера
ShotBird спочатку позиціонувався як інструмент для створення «професійних» скріншотів з локальною обробкою зображень і мав близько 800 установок. У січні 2025 року розширення навіть отримало позначку Featured у Chrome Web Store, що для більшості користувачів є ознакою підвищеної надійності. Однак після продажу в лютому 2026 року проєкт був використаний для кампанії соціальної інженерії.
ClickFix-атака та зловживання PowerShell у Windows
Зловмисники вбудували в ShotBird сценарій, що показує користувачеві підроблене сповіщення про оновлення Chrome. Далі застосовується так звана ClickFix-атака: розширення крок за кроком «навчає» жертву відкрити діалог «Виконати» в Windows, запустити cmd.exe і вставити заздалегідь підготовлену команду PowerShell.
Ззовні це виглядає як необхідна процедура для «виправлення помилки оновлення браузера», але фактично користувач власноруч надає шкідливому коду права операційної системи, обходячи більшість вбудованих обмежень браузера.
googleupdate.exe як інфостілер і крадій облікових даних
PowerShell-скрипт завантажує на комп’ютер файл googleupdate.exe, який поводиться як типовий інфостілер і виконує низку дій, спрямованих на крадіжку даних:
- перехоплює інформацію, введену у веб-формах: логіни, паролі, PIN-коди, реквізити платіжних карток, токени сесій;
- експортує з Chrome збережені паролі та історію відвідувань;
- передає зібрані дані на сервер управління, контрольований зловмисниками.
Дослідники відзначають схожість керувальної інфраструктури, логіки ClickFix-атаки та підходу до зловживання зміною власника розширень у кампаніях QuickLens і ShotBird. Це свідчить про високу ймовірність того, що за обома інцидентами стоїть один і той самий оператор загроз.
Ланцюг постачання браузерних розширень як слабка ланка безпеки
Історія з QuickLens і ShotBird демонструє, що модель безпеки, заснована на «одноразовому аудиті» під час публікації в Chrome Web Store, уже не є достатньою. Навіть розширення з міткою Featured, високим рейтингом та позитивними відгуками можуть перетворитися на шкідливі розширення Chrome після зміни власника або команди розробки.
Подібні кейси фіксувалися і раніше: деякі популярні блокувальники реклами чи менеджери вкладок після продажу починали інжектити агресивну рекламу, збирати дані про трафік чи запускати приховані криптомайнери. Для звичайного користувача такі зміни майже непомітні, адже інтерфейс і заявлений функціонал зазвичай залишаються без змін.
Google поступово посилює вимоги до розширень (зокрема, перехід на Manifest V3, обмеження доступу до привілейованих API та автоматизований аналіз коду), однак людський фактор і довіра до попередньої репутації залишаються критичним слабким місцем. Більшість користувачів рідко переглядають список встановлених розширень, не відстежують зміну власника та не аналізують нові дозволи після оновлень.
Як захиститися від шкідливих розширень Chrome: практичні рекомендації
Щоб знизити ризики атак через розширення браузера, доцільно поєднувати технічні та організаційні заходи безпеки. Навіть базові кроки помітно зменшують площу атаки.
- Мінімізуйте кількість розширень. Встановлюйте лише ті плагіни, без яких неможливо обійтися, і регулярно видаляйте невикористовувані.
- Контролюйте дозволи. З обережністю ставтеся до розширень, що просять доступ «до всіх сайтів» або можливість читати й змінювати дані на відвідуваних сторінках.
- Слідкуйте за поведінкою розширень. Звертайте увагу на нові спливаючі вікна, незвичні вимоги, «обов’язкові кроки» з введенням команд чи змін у системі.
- Ігноруйте «оновлення Chrome» з розширень. Офіційні оновлення браузера ніколи не ініціюються сторонніми плагінами і не потребують запуску cmd чи PowerShell.
- Використовуйте сучасні засоби захисту. Антивіруси та EDR-рішення з поведінковим аналізом здатні блокувати підозрілі PowerShell-скрипти, несанкціоновані мережеві з’єднання та запуск невідомих виконуваних файлів.
- У корпоративному середовищі впроваджуйте політики. Обмежуйте список дозволених розширень, централізовано моніторте їх оновлення та зміну дозволів, проводьте навчання співробітників щодо атак через браузер.
Випадки QuickLens і ShotBird показують, що навіть звичне, давно встановлене й колись безпечне розширення може перетворитися на загрозу всього за одне оновлення або зміну власника. Регулярна «гігієна» браузера, критичне ставлення до будь-яких сповіщень про оновлення та усвідомлене керування розширеннями допоможуть істотно знизити ризик компрометації облікових даних, платіжної інформації та корпоративних ресурсів. Тепер — найкращий час переглянути встановлені розширення у своєму браузері та посилити власну кібербезпеку.
