Екстензија за Google Chrome постала злонамјерна након преноса власништва

Екстензије о којима је ријеч, које су првобитно биле повезане са програмером под именом „akshayanuonline@gmail.com“ (BuildMelon), наведене су у наставку:

QuickLens – претраживање екрана помоћу Google Lens (ID: kdenlnncndfnhkognokgfpabgkgehodd) – 7.000 корисника

ShotBird – скролујући снимци екрана, слике са X (Twitter) и уређивач (ID: gengfhhkjekmlejbhmmopegofnoifnjp) – 800 корисника

Док QuickLens више није доступан за преузимање са продавнице екстензија за Google Chrome, ShotBird је и даље доступан у тренутку писања текста. ShotBird је првобитно покренут у новембру 2024. године, а његов програмер Акшај Ану С (@AkshayAnuOnline) навео је на платформи X (Twitter) да је екстензија погодна за „креирање професионалних, студијских визуелних приказа“, те да се сва обрада података обавља локално.

Промјена власника

Према истраживању које је објавио monxresearch-sec, додатак за прегледач добио је ознаку „Featured“ у јануару 2025. године, након чега је прошле мјесеце пребачен другом програмеру („loraprice198865@gmail.com“).

Слично томе, QuickLens је стављен на продају на платформи ExtensionHub 11. октобра 2025. године од стране „akshayanuonline@gmail.com“, свега два дана након што је објављен, навео је Џон Такнер из Annex Security. Дана 1. фебруара 2026. године власник екстензије промијењен је у „support@doodlebuggle.top“ на страници у продавници екстензија за Google Chrome.

Задржали функционалност и убацили вирус

Злонамјерно ажурирање уведено у QuickLens 17. фебруара 2026. године задржало је оригиналну функционалност, али је увело могућност уклањања безбједносних заглавља (на примјер X-Frame-Options) из сваког HTTP одговора. То омогућава злонамјерним скриптама убризганим у веб-страницу да шаљу произвољне захтјеве ка другим доменима, заобилазећи заштиту политике безбједности садржаја (Content Security Policy – CSP).

Поред тога, екстензија је садржала код који омогућава такозвани „фингерпринтинг“ корисника — утврђивање државе из које долази корисник, детекцију прегледача и оперативног система, као и комуникацију са спољним сервером сваких пет минута ради преузимања JavaScript кода. Тај код се чува у локалној меморији прегледача и извршава приликом сваког учитавања странице додавањем скривеног 1×1 GIF елемента <img>, при чему се низ са JavaScript кодом поставља као његов „onload“ атрибут. Када се слика учита, злонамјерни код се аутоматски извршава.

Како напада?

„Прави злонамјерни код се никада не појављује у изворним фајловима екстензије“, објаснио је Такнер. „Статичка анализа показује само функцију која креира елементе слике. То је све. Злонамјерни садржај се испоручује са командно-контролног сервера (C2) и чува у локалној меморији — постоји само током извршавања.“

Слична анализа екстензије ShotBird, коју је спровео monxresearch-sec, открила је употребу директних повратних позива (callback) за испоруку JavaScript кода, умјесто креирања 1×1 пикселске слике ради покретања извршавања. Тај код је осмишљен тако да приказује лажни прозор за ажурирање прегледача Google Chrome. Када корисник кликне на њега, преусмјерава се на страницу у стилу ClickFix-а која га наводи да отвори дијалог „Run“ у оперативном систему Microsoft Windows, покрене „cmd.exe“ и налепи PowerShell команду. То доводи до преузимања извршног фајла „googleupdate.exe“ на рачунарима са системом Microsoft Windows.

Малвер затим пресреће унос у HTML елементима input, textarea и select и снима све податке које жртва унесе. То може укључивати корисничка имена и лозинке, ПИН-ове, податке о платним картицама, токене и државне идентификационе бројеве. Такође може извлачити податке похрањене у прегледачу Google Chrome, попут лозинки, историје прегледања и информација о инсталираним екстензијама.

„Ово је двостепени ланац злоупотребе: даљинска контрола прегледача преко екстензије, уз прелаз на извршавање кода на самом рачунару путем лажних ажурирања“, навео је истраживач. „Резултат је висок ризик од излагања података унутар прегледача и потврђено извршавање скрипти на систему бар на једном погођеном рачунару. У пракси то значи да се утицај повећава са злоупотребе прегледача на могућу крађу акредитива и шире компромитовање система.“

Процјењује се да иза компромитовања ове двије екстензије стоји исти актер пријетње, који их користи паралелно, јер се уочава идентична архитектура командно-контролних сервера, исти ClickFix механизам унутар прегледачког окружења и пренос власништва као вектор инфекције.

Власници имају више додатака

Занимљиво је да је оригинални програмер екстензија објавио више других додатака под својим именом у продавници екстензија за Google Chrome, а сви су добили ознаку „Featured“. Програмер има и налог на платформи ExtensionHub, иако се тренутно ниједна екстензија не нуди на продају. Поред тога, та особа је покушала продати домене попут „AIInfraStack.com“ за 2.500 долара, наводећи да је ријеч о „јаком домену са кључним ријечима“ релевантном за брзо растући екосистем вјештачке интелигенције.

„Ово је суштина проблема у ланцу снабдијевања екстензијама“, навела је компанија Annex Security. „Провјерена и функционална екстензија са ознаком ‘Featured’ промијени власника, а нови власник затим шаље злонамјерно ажурирање свим постојећим корисницима.“

Ово откриће долази у тренутку када је Microsoft упозорио на злонамјерне екстензије за прегледаче засноване на пројекту Chromium које се представљају као легитимни алати-асистенти засновани на вјештачкој интелигенцији како би прикупљале историју разговора са великим језичким моделима и податке о прегледању.

„У великом обиму, ова активност претвара наизглед поуздану екстензију за продуктивност у трајни механизам за прикупљање података уграђен у свакодневно коришћење прегледача у компанијама“, навео је истраживачки тим Microsoft Defender Security Research Team.

У посљедњим седмицама истраживачи су указали и на злонамјерну екстензију за Google Chrome под називом lmΤoken Chromophore (ID: bbhaganppipihlhjgaaeeeefbaoihcgi), која се лажно представља као новчаник imToken и оглашава као алат за приказ хексадецималних боја у продавници екстензија, док у стварности краде криптовалутне „seed phrase“ фразе путем фишинг преусмјеравања.

„Умјесто да понуди безазлени алат који обећава, екстензија аутоматски отвара фишинг страницу под контролом нападача чим се инсталира, а затим поново сваки пут када корисник кликне на њу“, навео је истраживач компаније Socket Кирил Бојченко.

„Приликом инсталације, екстензија преузима одредишни URL са унапријед дефинисаног JSONKeeper сервера и отвара картицу која води ка домену налик продавници екстензија за Google Chrome. Страница имитира новчаник imToken и усмјерава жртве ка формама за унос акредитива које траже seed фразу од 12 или 24 ријечи или приватни кључ.“

Друге злонамјерне екстензије које је идентификовала истраживачка јединица Unit 42 компаније Palo Alto Networks користиле су технике преузимања партнерских провизија (affiliate hijacking) и изношења података. Једна од њих — Chrome MCP Server – AI Browser Control — функционише као потпуни тројански програм за даљински приступ, док се представља као алат за аутоматизацију заснован на протоколу Model Context Protocol (MCP).

Истраживачи Unit 42 открили су и да су три популарне екстензије — Urban VPN Proxy, Urban Browser Guard и Urban Ad Blocker — поново доступне у продавници екстензија за Google Chrome, након што су раније уклоњене јер су прикупљале разговоре са више чет-ботова, укључујући ChatGPT, Claude, Microsoft Copilot, DeepSeek, Google Gemini, Grok, Meta AI и Perplexity.

„Након јавног откривања кампање 15. децембра 2025. године, програмер је у јануару 2026. године објавио безопасне верзије, вјероватно као одговор на извјештај“, навели су истраживачи.

Компанија за сајбер-безбједност такође је идентификовала екстензију Palette Creator (ID: iofmialeiddolmdlkbheakaefefkjokp), која има више од 100.000 корисника и чија је претходна верзија комуницирала са познатим мрежним индикаторима повезаним са кампањом RedDirection ради преузимања контроле над прегледачем (browser hijacking).

Осим тога, нова кампања која обухвата више од 30.000 домена користи ланац преусмјеравања како би усмјерила саобраћај ка страници „ansiblealgorithm.com“, која служи за дистрибуцију екстензије OmniBar AI Chat and Search (ID: ajfanjhcdgaohcbphpaceglgpgaaohod).

Екстензија користи API chrome_settings_overrides како би мијењала поставке Google Chrome, постављајући почетну страницу прегледача на omnibar.ai и подешавајући подразумјевани претраживач на прилагођени URL који прати корисничке упите.

Вјерује се да је крајњи циљ ове активности преузимање контроле над прегледачем у оквиру велике шеме партнерског маркетинга, навели су истраживачи Unit 42, додајући да су идентификоване још двије екстензије са истим понашањем — AI Output Algo Tool и Serpey.com official extension.

Дубља анализа три додатне екстензије истог програмера („jon@status77.com“, односно Status 77) показала је да двије од њих прате активности прегледања корисника како би убацивале партнерске ознаке, док трећа извлачи и шаље коментаре корисника са платформе Reddit ка API серверу под контролом програмера:

• Care.Sale
• Giant Coupons Official Extension
• Consensus – Reddit Comment Summarizer

Корисницима који су инсталирали било коју од наведених екстензија савјетује се да их одмах уклоне из прегледача, избјегавају ручно инсталирање непровјерених екстензија и провјере да ли у прегледачу постоје непознати додаци те их деинсталирају.

(The Hacker News)