Фахівці SecurityAnnex виявили масштабну кіберзагрозу у вигляді 245 шкідливих браузерних розширень для Chrome, Firefox та Edge. Ці плагіни, завантажені понад 909 000 разів, перетворюють браузери користувачів на інструменти для комерційного веб-скрапінгу без їхньої відома. Інцидент демонструє нову еволюцію кіберзагроз, де звичайні розширення стають прихованими каналами для збору даних.
Як працює бібліотека MellowTel-js
Основою шкідливої активності є опенсорсна бібліотека MellowTel-js, яка маскується під інструмент монетизації для розробників. Розширення імітують корисні функції – від управління закладками до генерації випадкових чисел, але насправді виконують приховані операції зі збору інформації.
Дослідження розкрило тісні зв’язки між MellowTel та компанією Olostep, яка позиціонує себе як постачальник API для веб-скрапінгу. Клієнти Olostep, включаючи стартапи з штучного інтелекту, оплачують доступ до веб-ресурсів через мережу заражених браузерів користувачів по всьому світу.
Технічні методи обходу захисту браузерів
Бібліотека MellowTel використовує складні техніки для обходу стандартних механізмів безпеки. Після встановлення розширення активує веб-сокет з’єднання до серверів AWS, збираючи дані про геолокацію, пропускну здатність та активність користувачів.
Найнебезпечнішим елементом є впровадження прихованих iframe-елементів у відвідувані сторінки. Ці невидимі фрейми підключаються до сайтів зі списку, отриманого з віддаленого сервера, при цьому користувачі не контролюють, які ресурси відкриваються в їхньому браузері.
Подолання заголовків безпеки
Для нейтралізації захисних механізмів, таких як Content-Security-Policy та X-Frame-Options, бібліотека запитує дозволи declarativeNetRequest та access. Ці права дозволяють динамічно змінювати веб-запити та відповіді, видаляючи заголовки безпеки з відповідей веб-серверів.
Таке ослаблення захисту створює додаткові ризики, включаючи вразливості до атак міжсайтового скриптингу (XSS), які в нормальних умовах блокуються браузерними механізмами безпеки.
Корпоративні ризики та поточний стан загрози
Особливу небезпеку MellowTel становить для корпоративних мереж зі строгими обмеженнями на виконуваний код та відвідувані сайти. Приховане підключення до невідомих ресурсів може порушити політики безпеки підприємств і створити вектори для подальших атак.
Після публікації дослідження більшість магазинів розширень розпочали видалення заражених плагінів. Однак створювач MellowTel Арсіан Алі продовжує захищати свою розробку, стверджуючи, що вона призначена для створення “опенсорсної альтернативи рекламним механізмам”.
Методи захисту та рекомендації експертів
Для захисту від подібних загроз користувачам рекомендується регулярно аудитувати встановлені браузерні розширення, особливо звертаючи увагу на запитувані дозволи. Особливу обережність слід проявляти при встановленні розширень, що вимагають доступу до зміни веб-запитів або широких прав доступу до веб-сайтів.
Цей інцидент ілюструє еволюцію кіберзагроз і необхідність більш суворого контролю за екосистемою браузерних розширень. Користувачі повинні розуміти, що навіть зовні безпечні плагіни можуть приховувати складні схеми збору даних та використання обчислювальних ресурсів без згоди власників пристроїв. Регулярний моніторинг встановлених розширень та обмеження їхніх дозволів залишаються ключовими елементами цифрової безпеки.
