Исследователи по безопасности сообщают, что давно действовавшая кампания с использованием вредоносных расширений браузера затронула примерно 4,3 миллиона пользователей, внедряя бэкдоры и шпионское ПО для кражи учётных данных и вывоза данных. Хотя магазины удалили многие проблемные дополнения, предупреждения исследователей подчёркивают, что инфраструктура злоумышленников и устойчивые механизмы их присутствия на устройствах по‑прежнему представляют угрозу.

По сообщениям специалистов по кибербезопасности, широко распространённая операция по распространению вредоносных расширений для Chrome и Edge, по оценкам, заразила около 4,3 млн пользователей. Расширения маскировались под безобидные утилиты, кошельки или инструменты для повышения продуктивности, при этом доставляя бэкдоры, кейлоггеры и шпионское ПО, способное вывозить сохранённые пароли, cookie и данные форм. Исследователи обнаружили инфраструктуру командования и управления (C2), которая рассылала обновления и дополнительные полезные нагрузки, что позволяло осуществлять латеральное перемещение и закрепляться на скомпрометированных хостах. Крупные магазины расширений удалили множество помеченных дополнений, но реагирующие на инциденты специалисты предупреждают, что у многих пользователей по‑прежнему установлены вредоносные коды, а бекенды злоумышленников остаются в рабочем состоянии и продолжают собирать данные с инфицированных установок. Рекомендуемые меры смягчения последствий включают аудит установленных расширений, удаление недоверенных дополнений, смену скомпрометированных учётных данных и запуск сканирования и исправления конечных устройств. Организации призывают внедрять списки разрешённых расширений, разворачивать мониторинг телеметрии браузера и обучать пользователей рискам установки непроверенных плагинов. Инцидент подчёркивает риски цепочки поставок и распространения в экосистемах браузеров, где кажущееся незначительным дополнение может превратиться в масштабную платформу для шпионажа и мошенничества.