В Chrome Web Store — официальном магазине контента для браузера Google Chrome — были найдены четыре расширения, содержавших вредоносный код. Как сообщили эксперты по кибербезопасности из компании ICEBRG, в общей сумме поддельные аддоны были скачаны более полумиллиона раз.
Аналитики обнаружили "плохие" дополнения, обратив внимание на подозрительный всплеск исходящего интернет-трафика с рабочей станции одного из клиентов. Как выяснилось, на зараженный компьютер было установлено расширение HTTP Request Header, которое использовалось для тайного посещения рекламных сайтов. Впоследствии специалисты ICEBRG нашли еще четыре плагина, работавшие по той же схеме: Nyoogle, Stickies и Lite Bookmarks.
По словам экспертов, аддоны накручивали просмотры рекламы без участия установивших их пользователей, получая вознаграждение за каждый клик. Кроме накруток, их создатели могли шпионить за людьми или организациями.
После публикации отчета Google удалила расширения из Chrome Web Store, пишет Ars Technica. Кроме того, ICEBRG уведомила об угрозе Национальный центр кибербезопасности Нидерландов (NCSC-NL) и US-CERT — одно из подразделений Министерства внутренней безопасности США, которое реагирует на инциденты, связанные с компьютерной безопасностью.
Из-за возможности запуска произвольного JavaScript-кода в Chrome Web Store нередко попадают расширения-вредоносы. Например, в октябре прошлого года в магазине Google был найден поддельный плагин, маскировавшийся под блокировщика рекламы Adblock Plus. Перед удалением его успели скачать свыше 37 тысяч пользователей.
Google уже давно борется с расширениями-фальшивками, но с переменным успехом. В 2015 году компания запретила пользователям Windows и "маков" скачивать плагины для Chrome из любых других источников, кроме официального Chrome Web Store. В результате количество запросов в службу техподдержки, связанных с удалением нежелательных расширений, сократилось на 75%.