Plaga złośliwych rozszerzeń
Jako pierwszy na trop omawianych złośliwych rozszerzeń w Chrome Web Store wpadł ekspert do spraw cyberbezpieczeństwa Wladimir Palant. Najpierw odnalazł on złośliwy kod w rozszerzeniu o nazwie PDF Toolbox, które dysponowało w sklepie średnią ocen na poziomie 4,2/5 i posiadało ponad 2 miliony użytkowników.
Palant poinformował, że złośliwy kod umożliwiał witrynie „serasearchtop[.]com” na wstrzykiwanie dowolnego kodu JavaScript do wszelkich stron internetowych odwiedzanych przez użytkowników rozszerzenia. Wyjaśnił, że kod został zaprojektowany tak, aby aktywował się 24 godziny po zainstalowaniu rozszerzenia, a jego głównym zadaniem było wyświetlanie użytkownikom reklam.
Kilka tygodni po wykryciu malware w rozszerzeniu PDF Toolbox Wladimir Palant podzielił się w kolejnym artykule, że znalazł 18 kolejnych przeglądarkowych rozszerzeń w Chrome Web Store wykorzystujących podobny kod. Łącznie miały one 55 milionów użytkowników i obejmowały takie rozszerzenia jak Autoskip for YouTube (9 milionów aktywnych użytkowników), Soundboost (6,9 miliona użytkowników) oraz Crystal Ad block (6,8 miliona użytkowników).
Co istotne, wszystkie rozszerzenia mimo swojej złośliwej zawartości były tak popularne i tak łatwo oszukiwały użytkowników, bo rzeczywiście oferowały takie funkcje, jak deklarowali ich deweloperzy.
Zagrożenie zażegnane – do pewnego stopnia
To, że zweryfikowane przez Palanta rozszerzenia zawierały złośliwy kod potwierdził Avast, który następnie zgłosił wszystko Google. Co więcej, Avast wykrył więcej takich rozszerzeń, zwiększając ich łączną liczbę do 32. Łączna liczba instalacji ich wszystkich wynosiła 75 milionów.
Warto wspomnieć, że chociaż liczba pobrań złośliwych rozszerzeń jest niepokojąco wysoka, Avast informuje, iż mogła ona zostać sztucznie zawyżona. Firma bazuje tę teorię na podejrzanie niskiej liczbie recenzji omawianych aplikacji w Chrome Web Store oraz na tym, że liczba osób, które zetknęły się ze złośliwą aktywnością, nie pokrywała się z liczbą instalacji.
Oczywiście, wykryte złośliwe rozszerzenia już zostały usunięte z Chrome Web Store. Jeżeli zdążyłeś jakiekolwiek z nich zainstalować, natychmiast je odinstaluj. Listę rozszerzeń, które zawierały malware, znajdziesz tutaj. Zapewne w przyszłości w Chrome Web Store pojawią się kolejne złośliwe rozszerzenia, albowiem cyberprzestępcy znajdą nowe sposoby na sprytne ukrywanie w nich złośliwego kodu. Trzeba zatem bardzo uważać, co się z tej platformy pobiera.
Źródło: Avast, fot. tyt. Canva