По данным исследователей компании Socket, в Chrome Web Store были обнаружены 152 вредоносных расширения, замаскированных под инструменты установки живых обоев на новые вкладки браузера. Как сообщается, расширения суммарно были установлены более 105 000 раз, собирали пользовательские данные вопреки заявлениям в описаниях и, предположительно, использовались для систематической фальсификации рекламного трафика. Всем пользователям Chrome, установившим расширения с тематикой аниме, игровых персонажей, автомобилей или знаменитостей для оформления новых вкладок, рекомендуется немедленно проверить список установленных расширений и удалить подозрительные.
Масштаб и инфраструктура кампании
Согласно отчёту Socket, кампания охватывала 38 аккаунтов разработчиков в Chrome Web Store — нетипично большое количество, указывающее на целенаправленное распределение расширений для снижения риска массовой блокировки. Все расширения предлагали визуальное оформление новых вкладок браузера: живые обои с персонажами аниме, героями видеоигр, автомобилями и знаменитостями — тематика, рассчитанная на широкую аудиторию.
Исследователи связали инфраструктуру кампании с тремя доменами:
- tabplugins[.]com
- yowgames[.]com
- chromewallpaper[.]com
Полный перечень вредоносных расширений доступен в отчёте Socket.
Техническая схема: от сбора данных до фальсификации трафика
Противоречие между описанием и политикой конфиденциальности
Ключевой находкой стало расхождение между публичными заявлениями и реальным поведением расширений. В описаниях на странице Chrome Web Store утверждалось, что расширения не собирают и не используют данные пользователей. Однако в политике конфиденциальности, по данным исследователей, было указано обратное: расширения фиксировали IP-адреса, сведения об интернет-провайдерах, количество кликов и источники переходов. Собранные данные, как сообщается, передавались рекламным партнёрам, включая Google AdSense и DoubleClick.
Манипуляция при установке и удалении
Наиболее изощрённая часть схемы была связана со скрытыми механизмами, активировавшимися в двух критических точках жизненного цикла расширения:
При установке расширения автоматически открывали специальную страницу с UTM-метками. Для аналитических систем такой переход выглядел как органический визит из поисковой выдачи Google. Как поясняют исследователи: «Это не человек, который просто нашёл сайт через поиск Google. Расширение самостоятельно открывает вкладку и помечает переход как органический».
При удалении некоторые расширения отправляли запрос через google.com/url — легитимный редиректор Google. В аналитических системах это интерпретировалось как переход пользователя из поисковой выдачи, хотя в действительности запрос генерировался программно.
Обе техники преследовали одну цель: искусственное создание сигналов, которые рекламные и аналитические платформы ассоциируют с реальными посетителями. Операторы кампании получали возможность манипулировать показателями посещаемости и происхождения трафика — классическая схема рекламного мошенничества.
Неактивный механизм работы с IndexedDB
Исследователи также обнаружили в коде неактивную функцию, связанную с IndexedDB. При запуске сервисного воркера она способна перечислять и удалять все обнаруженные базы данных IndexedDB в браузере. Хотя этот механизм на момент анализа не использовался, его наличие свидетельствует о заложенных дополнительных возможностях — потенциально деструктивных, поскольку IndexedDB используется веб-приложениями для хранения значительных объёмов структурированных данных, включая офлайн-кеши и пользовательские настройки.
Оценка воздействия
По оценке Socket, речь идёт о коммерческой операции, направленной на рекламное мошенничество и манипуляцию источниками трафика. Более 105 000 установок означают, что десятки тысяч пользователей потенциально подверглись несанкционированному сбору данных. При этом важно учитывать несколько аспектов:
- Для конечных пользователей: утечка IP-адресов, данных о провайдере и поведенческих метрик к неизвестным рекламным партнёрам. Наличие спящего кода для работы с IndexedDB создаёт риск потери данных веб-приложений в случае активации.
- Для рекламодателей: фальсифицированный органический трафик искажает аналитику и приводит к неэффективному расходованию рекламных бюджетов.
- Для экосистемы Chrome Web Store: использование 38 аккаунтов разработчиков демонстрирует ограниченность текущих механизмов модерации при обнаружении координированных кампаний.
Следует отметить, что все выводы основаны на отчёте одного исследовательского источника. Официального подтверждения со стороны Google или Chrome Web Store на момент публикации не поступало.
Рекомендации
- Проверьте установленные расширения: откройте
chrome://extensions/и сверьте список с перечнем вредоносных расширений в отчёте Socket. Удалите все совпадения. - Проверьте разрешения расширений: расширения для оформления новых вкладок не должны запрашивать доступ к данным на всех сайтах или к сетевой активности.
- Сопоставляйте описание с политикой конфиденциальности: если расширение заявляет об отсутствии сбора данных, но его политика конфиденциальности описывает передачу информации рекламным партнёрам — это явный признак недобросовестности.
- Минимизируйте количество расширений: каждое расширение Chrome выполняется с привилегиями, позволяющими взаимодействовать с содержимым страниц и сетевыми запросами. Устанавливайте только расширения от проверенных разработчиков с прозрачной историей.
- Для администраторов корпоративных сред: используйте групповые политики Chrome (
ExtensionInstallBlocklist,ExtensionInstallAllowlist) для ограничения установки расширений только из утверждённого списка.
Данный случай наглядно показывает, что расширения с визуально безобидной функциональностью — оформление вкладок, обои, темы — остаются одним из наиболее эффективных векторов для массового сбора данных и рекламного мошенничества. Пользователям, обнаружившим любое из 152 расширений из отчёта Socket, следует немедленно удалить его и проверить, какие данные могли быть переданы, просмотрев историю сетевых запросов расширения через инструменты разработчика Chrome.
