Два ранее доверенных расширения для Google Chrome — QuickLens и ShotBird — были превращены в инструменты атаки после смены владельцев. Исследователи Annex Security и независимый эксперт monxresearch-sec зафиксировали, что обновлённые версии расширений начали выполнять произвольный код, собирать пользовательские данные и распространять вредоносное ПО через поддельные уведомления об обновлении браузера.
Смена владельца расширений Chrome как новый вектор атак
Изначально оба расширения выполняли заявленный функционал. QuickLens, установленный примерно у 7000 пользователей, обеспечивал быстрый поиск через Google Lens. ShotBird (около 800 установок) позиционировался как инструмент для создания «профессиональных» скриншотов и изображений с локальной обработкой. В январе 2025 года ShotBird даже получил отметку Featured в Chrome Web Store, что обычно воспринимается пользователями как индикатор повышенного доверия.
Ситуация изменилась после перепродажи проектов. Разработчик QuickLens выставил расширение на площадке ExtensionHub уже через два дня после публикации, и 1 февраля 2026 года новым владельцем стал аккаунт [email protected]. ShotBird, по данным исследователей, был продан в феврале 2026 года. Именно после смены владельцев начались вредоносные изменения кода и поведения.
Подобные кейсы иллюстрируют уязвимость цепочки поставок браузерных расширений: безопасный и популярный продукт с хорошей репутацией может внезапно превратиться в канал распространения малвари сразу для тысяч пользователей, не вызывая подозрений до выхода вредоносного обновления.
Как QuickLens превратился в инструмент удалённого исполнения кода
Удаление защитных заголовков и обход CSP
17 февраля 2026 года QuickLens получило обновление, которое сохранило основной функционал, но добавило скрытую вредоносную логику. Ключевое изменение — вмешательство в HTTP-трафик: расширение начало удалять защитные HTTP-заголовки, в том числе X-Frame-Options.
Этот заголовок используется сайтами для защиты от атак типа «clickjacking» и для ограничения встраивания страниц в iframe. Удаление X-Frame-Options и связанных механизмов усиливает возможность обхода Content Security Policy (CSP), что в итоге позволяет злоумышленнику внедрять и выполнять произвольные скрипты на страницах, которые пользователь посещает в браузере.
Сбор телеметрии и управление через внешние сервера
По данным Annex Security, обновлённое QuickLens стало собирать техническую информацию о пользователе: страну, операционную систему, версию браузера. Каждые пять минут расширение обращается к внешнему серверу за очередным JavaScript-пейлоадом, который затем выполняется в контексте браузера.
Примечательно, что вредоносная логика не содержится в явном виде в исходных файлах расширения. Вместо этого код загружается с управляющего сервера, сохраняется в local storage и исполняется динамически. Такой подход усложняет статический анализ и позволяет атакующему быстро менять функциональность без публикации новых версий в магазине расширений.
ShotBird: фальшивое обновление Chrome и установка малвари
ClickFix-атака и принуждение к запуску PowerShell
В случае ShotBird злоумышленники пошли по иному пути и использовали социальную инженерию. Расширение стало показывать пользователю поддельное уведомление об обновлении Chrome. Далее применяется так называемая ClickFix-атака: жертву пошагово подводят к тому, чтобы открыть диалог «Выполнить» в Windows, запустить cmd.exe и вставить туда подготовленную команду PowerShell.
Визуально процесс выглядит как необходимый шаг для «исправления ошибки обновления», однако по сути пользователь сам инициирует выполнение вредоносного кода с расширенными правами операционной системы.
Функции загруженного вредоносного ПО
PowerShell-скрипт загружает на компьютер жертвы исполняемый файл googleupdate.exe. При запуске этот файл выполняет функции типичного инфостилера:
- перехватывает данные, вводимые в веб-формы (логины, пароли, PIN-коды, данные банковских карт, токены авторизации);
- извлекает сохранённые в Chrome пароли и историю посещений сайтов;
- передаёт собранную информацию на сервер злоумышленников.
Исследователи отмечают, что управляющая инфраструктура, логика ClickFix-атаки и общий подход к злоупотреблению сменой владельца расширений указывают на одного и того же оператора угроз, стоящего за обеими кампаниями.
Риски цепочки поставок браузерных расширений
Инцидент с QuickLens и ShotBird — очередное подтверждение того, что модель безопасности «однократного аудита» расширения при публикации в магазине больше не работает. Даже расширения с пометкой Featured и положительными отзывами могут стать вредоносными после смены владельца или команды разработки.
Подобные случаи уже фиксировались и ранее: известны примеры, когда популярные блокировщики рекламы или менеджеры вкладок после продажи начинали вставлять навязчивую рекламу, собирать данные о трафике или внедрять скрытые майнеры. Для пользователей такие изменения зачастую незаметны, поскольку интерфейс и основная функция остаются прежними.
Google последовательно ужесточает требования к расширениям (Manifest V3, ограничения на права доступа, автоматический анализ кода), однако человеческий фактор и доверие к существующей репутации по-прежнему остаются слабым звеном: пользователи редко пересматривают список установленных расширений и обращают внимание на изменения владельца.
Как защитить себя от вредоносных расширений Chrome
Чтобы снизить риски, связанные с атаками через расширения браузера, целесообразно придерживаться нескольких практических рекомендаций:
- Минимизировать набор расширений. Устанавливать только действительно необходимые плагины и периодически удалять неиспользуемые.
- Проверять разрешения. Быть особенно осторожными с расширениями, запрашивающими доступ «ко всем сайтам» или к чтению/изменению данных на посещаемых страницах.
- Следить за обновлениями. Обращать внимание на резкие изменения поведения расширения, внешний вид всплывающих окон и новые «обязательные» действия от пользователя.
- Игнорировать «обновления Chrome» из расширений. Обновление браузера никогда не инициируется сторонним расширением и не требует ввода команд в PowerShell или cmd.
- Использовать средства защиты. Антивирусы и EDR-решения с поведенческим анализом помогают выявлять подозрительные PowerShell-команды и несанкционированные сетевые соединения.
Случай QuickLens и ShotBird демонстрирует, что даже привычные и давно установленные расширения могут превратиться в угрозу в одно обновление. Регулярная гигиена браузера, критическое отношение к всплывающим окнам и осознанное управление расширениями существенно снижают вероятность успешной атаки и кражи конфиденциальных данных.
