Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Badacze bezpieczeństwa ujawnili szeroko zakrojoną kampanię obejmującą 152 rozszerzenia Google Chrome oferujące tapety i animowane tła dla nowych kart. Choć tego rodzaju dodatki zwykle uchodzą za nieszkodliwe, analiza wskazuje, że część z nich wykazywała cechy typowe dla adware, nadmiernego zbierania danych telemetrycznych oraz mechanizmów służących do sztucznego generowania i fałszowania źródeł ruchu.
To kolejny przykład, że nawet pozornie proste rozszerzenia personalizujące przeglądarkę mogą stać się narzędziem monetyzacji kosztem prywatności użytkownika i przejrzystości ekosystemu reklamowego.
W skrócie
Zidentyfikowany klaster obejmował 152 rozszerzenia opublikowane przez 38 różnych kont wydawców i powiązane z trzema wspólnymi zapleczami infrastrukturalnymi. Łącznie dodatki miały osiągnąć około 105 tysięcy instalacji.
- rozszerzenia udawały narzędzia do personalizacji nowych kart,
- część z nich deklarowała brak zbierania danych mimo odmiennych zapisów w politykach prywatności,
- badacze wykryli logikę uruchamiania spreparowanych adresów URL podczas instalacji i odinstalowania,
- mechanizmy te mogły służyć do symulowania legalnego ruchu pochodzącego z wyszukiwarek.
Kontekst / historia
Rynek rozszerzeń przeglądarkowych od lat pozostaje atrakcyjnym wektorem nadużyć. Dodatki oferujące tapety, motywy, widżety i funkcje nowej karty często proszą o szerokie uprawnienia, a jednocześnie nie wzbudzają dużej podejrzliwości użytkowników. Taki model sprzyja kampaniom nastawionym na reklamę, śledzenie aktywności i manipulowanie ruchem afiliacyjnym.
W opisywanym przypadku zebrane artefakty wskazują na skoordynowaną, finansowo motywowaną operację. Wykorzystanie wielu kont wydawców oraz wspólnych elementów zaplecza sugeruje, że nie chodziło o pojedynczy incydent, lecz o dobrze zorganizowaną kampanię rozproszoną na wiele pozornie niezależnych pakietów.
Analiza techniczna
Jednym z najważniejszych elementów technicznych kampanii było rozproszenie jej na dużą liczbę rozszerzeń. Taka strategia utrudnia wykrywanie na podstawie reputacji i pozwala dłużej utrzymywać obecność w sklepie, nawet jeśli część dodatków zostanie usunięta. Rozszerzenia były promowane jako atrakcyjne wizualnie dodatki związane z popularnymi markami, postaciami i motywami kulturowymi, co zwiększało ich szanse na instalację.
Badacze zwrócili uwagę na rozbieżność między informacjami prezentowanymi w Chrome Web Store a treścią polityk prywatności. Z punktu widzenia bezpieczeństwa i zgodności to istotny sygnał ostrzegawczy, ponieważ użytkownik podejmuje decyzję instalacyjną na podstawie deklaracji widocznych w sklepie. Jeśli rozszerzenie twierdzi, że nie gromadzi danych, a dokumentacja prywatności wspomina o rejestrowaniu adresów IP, dostawcy internetu, liczby kliknięć czy danych referencyjnych, pojawia się realny problem przejrzystości.
Szczególnie niepokojący okazał się kod JavaScript obsługujący zdarzenia instalacji i odinstalowania. Część rozszerzeń zawierała na sztywno zdefiniowane adresy URL uruchamiane właśnie w tych momentach. W przypadku instalacji stosowano parametry UTM sugerujące organiczne wejście z wyszukiwarki, co mogło nadawać sztucznie wygenerowanemu otwarciu karty pozory legalnego ruchu marketingowego.
Jeszcze dalej szedł mechanizm aktywowany przy odinstalowaniu, w którym użyto formatu przekierowania przypominającego kliknięcia pochodzące z wyników wyszukiwania. Taki model może wspierać fałszowanie atrybucji, zawyżanie efektywności kampanii reklamowych oraz generowanie mylących sygnałów w systemach analitycznych i antyfraudowych.
Dodatkowym elementem ryzyka była obecność uśpionej funkcji pozwalającej na enumerację i usuwanie baz IndexedDB po uruchomieniu service workera. Nawet jeśli funkcja nie była aktywnie wykorzystywana od razu, sama jej obecność zwiększa zagrożenie późniejszą zmianą zachowania rozszerzenia, sabotażem danych lokalnych lub wdrożeniem bardziej inwazyjnych funkcji w przyszłych aktualizacjach.
Konsekwencje / ryzyko
Dla użytkowników indywidualnych podstawowe ryzyko obejmuje utratę prywatności, ekspozycję na nadmiarowe śledzenie i obniżenie bezpieczeństwa przeglądarki. Nawet jeśli rozszerzenie nie pełni roli klasycznego malware, może działać jak potencjalnie niechciany program przetwarzający więcej danych, niż użytkownik świadomie zaakceptował.
Z perspektywy organizacji problem jest poważniejszy. Rozszerzenia działające na stacjach roboczych mogą zwiększać powierzchnię ataku, wpływać na integralność sesji webowych, inicjować nieautoryzowane połączenia sieciowe i zaburzać monitoring ruchu. Jeśli ich zadaniem jest dodatkowo generowanie sztucznego ruchu i zniekształcanie źródeł wejść, skutki mogą objąć także analitykę marketingową, systemy antyfraudowe i ocenę reputacji środowiska.
Nie można też pomijać ryzyka ewolucji takich kampanii. Rozszerzenie, które dziś zbiera telemetrię lub wspiera adware, jutro może zostać zaktualizowane o bardziej agresywne funkcje, takie jak przechwytywanie treści stron, manipulowanie wynikami wyszukiwania, przekierowania czy integracja z kolejnymi etapami łańcucha monetyzacji.
Rekomendacje
Organizacje powinny przeprowadzić przegląd zainstalowanych rozszerzeń Chrome, szczególnie tych związanych z nową kartą, tapetami i motywami. Weryfikacja powinna objąć identyfikatory rozszerzeń, zakres uprawnień, aktywność sieciową oraz ewentualne powiązania z zewnętrzną infrastrukturą.
W środowiskach firmowych warto wdrożyć politykę allowlist dla rozszerzeń oraz centralne zarządzanie instalacjami z użyciem mechanizmów administracyjnych przeglądarki. Dodatki bez uzasadnienia biznesowego powinny być blokowane, a ich zachowanie monitorowane pod kątem anomalii.
- sprawdzaj rozszerzenia deklarujące prostą funkcję wizualną, ale żądające szerokich uprawnień,
- analizuj rozbieżności między opisem w sklepie a polityką prywatności,
- monitoruj komunikację z nietypowymi domenami backendowymi,
- zwracaj uwagę na otwieranie kart i przekierowania bez działania użytkownika,
- kontroluj aktualizacje rozszerzeń zmieniające zakres uprawnień lub profil ruchu sieciowego.
Użytkownicy końcowi powinni ograniczyć liczbę dodatków do niezbędnego minimum, regularnie przeglądać listę zainstalowanych rozszerzeń i usuwać te, których już nie używają. Przed instalacją warto także sprawdzić reputację wydawcy, opinie, liczbę instalacji oraz rzeczywiście wymagane uprawnienia.
Podsumowanie
Przypadek 152 rozszerzeń Chrome podszywających się pod nieszkodliwe dodatki z tapetami pokazuje, że personalizacja przeglądarki może zostać wykorzystana jako nośnik adware, telemetrii i oszustw atrybucyjnych. Największe zagrożenie nie wynika wyłącznie z samego zbierania danych, lecz z połączenia wielu elementów: rozproszonej publikacji, niespójnych deklaracji prywatności, mechanizmów sztucznego generowania ruchu oraz obecności funkcji, które mogą zostać aktywowane bardziej agresywnie w przyszłości.
Dla zespołów bezpieczeństwa to wyraźny sygnał, że rozszerzenia przeglądarkowe należy traktować jak pełnoprawny komponent ryzyka w architekturze endpointów i regularnie uwzględniać je w procesach kontroli bezpieczeństwa.
Źródła
- 152 Chrome Wallpaper Extensions with 105K Installs Linked to Adware and Fake Traffic — https://thehackernews.com/2026/06/152-chrome-wallpaper-extensions-with.html
- Socket Research — https://socket.dev