В конце января 2026 года специалисты по кибербезопасности выявили сеть вредоносных расширений для браузера Google Chrome, которые маскируются под полезные инструменты, но на деле крадут данные, захватывают сессии и вмешиваются в ссылки на торговых площадках.
Что именно обнаружили
Аналитики из разных компаний обратили внимание на расширения, которые, с одной стороны, обещают блокировать рекламу или помогать с покупками, а с другой скрытно выполняют вредоносные действия.
Одно из таких расширений Amazon Ads Blocker которое формально блокирует рекламные объявления на Amazon. Но на деле оно автоматически переписывает все товарные ссылки, добавляя в них чужой партнерский код, чтобы афилиат-заработок шел не авторам контента, а злоумышленникам.
Аналогичные трюки замечены и на AliExpress, при отсутствии партнерского тега расширение просто его вставляет. Это существенно нарушает правила Chrome Web Store и подрывает права авторов ссылок и блогеров.
Скрытые функции и утечка данных
Помимо подмены партнерских ссылок, в расширениях нашли и другие вредоносные механизмы:
Сбор данных о товарах и отправка их на сторонние сервера.
Создание ложного чувства срочности на AliExpress через фиктивные таймеры.
Кроме того, специалисты из Symantec обнаружили несколько расширений, которые злоупотребляют правами доступа:
Good Tab - получает полный доступ к буферу обмена через внешние домены.
Children Protection - собирает cookies, вставляет рекламу и выполняет произвольный JavaScript.
DPS Websafe - меняет поисковую систему пользователя на контролируемую злоумышленниками.
Stock Informer - содержит уязвимость XSS, потенциально позволяющую удаленное исполнение кода.
Кража сессий ChatGPT
Ещё одна тревожная находка связана с 16 расширениями, которые способны перехватывать токены аутентификации OpenAI ChatGPT. Такие токены позволяют получить доступ к аккаунту пользователя без повторной авторизации, включая историю чатов и сохранённые данные.
Эти расширения были загружены порядка 900 раз. Их объединяет общая часть кода, похожая графика и одинаковые описания, что указывает на скоординированную кампанию.
Почему это опасно
Расширения для браузеров традиционно требуют широких прав, чтобы взаимодействовать с контентом страниц, модифицировать ссылки или фильтровать рекламу. Но эти же права дают злоумышленнику:
доступ к вашим данным на посещаемых сайтах;
возможность подменять содержимое страниц;
перехват сессий и токенов авторизации;
скрытую отправку собранной информации на сторонние сервера.
Это делает браузер новый "входной вектор" для атак, обходя традиционные механизмы защиты.
Что делать пользователю
Чтобы снизить риск, эксперты рекомендуют:
не устанавливать расширения с малой историей отзывов или от неизвестных разработчиков;
периодически проверять список расширений и удалять те, которые больше не нужны;
внимательно читать, какие права запрашивает расширение перед установкой;
использовать официальные магазины расширений и обновлять браузер.
Источник: HN