Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Bezpieczeństwo rozszerzeń przeglądarkowych przez lata opierało się na założeniu, że dodatek raz zaakceptowany w oficjalnym sklepie pozostaje wiarygodny także po kolejnych aktualizacjach. Najnowszy incydent związany z rozszerzeniami QuickLens i ShotBird pokazuje jednak, że zmiana właściciela projektu może stać się punktem wejścia dla ataku na łańcuch dostaw przeglądarki.
W praktyce oznacza to, że legalne wcześniej rozszerzenie może zostać przejęte lub odsprzedane, a następnie wykorzystane do dystrybucji złośliwego kodu. Taki scenariusz jest szczególnie groźny, ponieważ bazuje na istniejącym zaufaniu użytkowników, historii pobrań oraz reputacji zdobytej jeszcze przed zmianą kontroli nad dodatkiem.
W skrócie
Badacze bezpieczeństwa opisali przypadek dwóch dodatków do Chrome, które po transferze własności zaczęły wdrażać szkodliwe funkcje przy zachowaniu części pierwotnej użyteczności. Według ustaleń QuickLens miał pobierać z zewnętrznej infrastruktury dodatkowy kod JavaScript, usuwać wybrane nagłówki bezpieczeństwa z odpowiedzi HTTP i uruchamiać zdalnie dostarczaną logikę w kontekście przeglądarki.
ShotBird miał działać w podobnym modelu, lecz dodatkowo wyświetlać fałszywy komunikat o aktualizacji Chrome. Taki komunikat prowadził do scenariusza socjotechnicznego typu ClickFix, którego celem było skłonienie użytkownika do uruchomienia polecenia PowerShell w systemie Windows.
- rozszerzenia zachowywały część legalnej funkcjonalności, aby nie wzbudzać podejrzeń,
- złośliwy kod był dostarczany dynamicznie z zewnętrznych serwerów,
- atak mógł prowadzić do kradzieży danych z formularzy i przeglądarki,
- w części przypadków istniało ryzyko przejścia z przeglądarki na poziom systemu operacyjnego.
Kontekst / historia
Ataki na łańcuch dostaw rozszerzeń przeglądarkowych stają się coraz bardziej atrakcyjne dla cyberprzestępców. Zamiast publikować od zera nowy, podejrzany dodatek, łatwiej jest przejąć już istniejące rozszerzenie z historią pobrań, ocenami użytkowników i statusem wcześniej zaakceptowanego produktu.
W opisywanym przypadku QuickLens i ShotBird były wcześniej powiązane z jednym deweloperem, a następnie miały przejść pod kontrolę innych podmiotów. Po tej zmianie pojawiły się aktualizacje zawierające komponenty uznane za złośliwe. QuickLens miał mieć około 7 tysięcy użytkowników, natomiast ShotBird około 800. Dodatkowo jedno z rozszerzeń otrzymało wcześniej wyróżnienie w sklepie, co mogło jeszcze bardziej zwiększyć zaufanie do dodatku.
To ważny sygnał dla organizacji i użytkowników indywidualnych: zaufanie do rozszerzenia nie powinno opierać się wyłącznie na jego historii, popularności czy wcześniejszym statusie w oficjalnym ekosystemie.
Analiza techniczna
Najbardziej niepokojącym elementem incydentu był model dynamicznego dostarczania złośliwego ładunku. Zamiast umieszczać pełny kod atakujący bezpośrednio w pakiecie rozszerzenia, QuickLens miał okresowo łączyć się z zewnętrznym serwerem sterującym, pobierać dodatkowy JavaScript i uruchamiać go podczas działania przeglądarki. Takie podejście utrudnia wykrycie pełnej funkcjonalności zagrożenia na etapie analizy statycznej rozszerzenia.
W analizie wskazano również ingerencję w mechanizmy ochronne przeglądarki i aplikacji webowych. QuickLens miał usuwać nagłówki bezpieczeństwa z odpowiedzi HTTP, w tym X-Frame-Options. Tego rodzaju modyfikacje mogą osłabiać zabezpieczenia po stronie przeglądarki i ułatwiać dalsze nadużycia związane z wykonywaniem nieautoryzowanego kodu oraz obchodzeniem ograniczeń bezpieczeństwa.
W przypadku ShotBird złośliwa logika miała prowadzić do prezentowania fałszywego komunikatu o aktualizacji przeglądarki. Następnie użytkownik był kierowany do instrukcji typowych dla schematu ClickFix, gdzie proszono go o ręczne wykonanie polecenia w systemie Windows. To oznaczało zmianę charakteru incydentu z nadużycia uprawnień rozszerzenia na potencjalne przejęcie hosta poprzez pobranie i uruchomienie pliku wykonywalnego.
Dalsze działanie złośliwego kodu obejmowało monitorowanie i przechwytywanie danych wpisywanych do formularzy HTML. Dotyczyło to pól input, textarea i select, co mogło umożliwiać pozyskiwanie loginów, haseł, numerów PIN, danych płatniczych, tokenów sesyjnych oraz innych poufnych informacji. Wskazano również ryzyko kradzieży danych zapisanych lokalnie w przeglądarce, takich jak historia przeglądania czy informacje związane z innymi rozszerzeniami.
Konsekwencje / ryzyko
Ten typ incydentu niesie wysokie ryzyko, ponieważ użytkownik nie instaluje pozornie nowego i podejrzanego narzędzia. Korzysta z wcześniej zaufanego dodatku, który z czasem otrzymuje szkodliwą aktualizację. To sprawia, że klasyczne zasady ostrożności, takie jak unikanie nieznanych rozszerzeń, przestają być wystarczające.
Rozszerzenia działają w uprzywilejowanym kontekście i często mają szeroki dostęp do treści odwiedzanych stron, sesji użytkownika, danych formularzy oraz ruchu sieciowego. Jeśli taki komponent zostanie wykorzystany przez atakującego, może służyć do kradzieży poświadczeń, przejmowania sesji, wycieku informacji biznesowych i przygotowania gruntu pod dalszą kompromitację środowiska.
Szczególnie niebezpieczny jest scenariusz przejścia z przeglądarki do systemu operacyjnego. Fałszywe aktualizacje i techniki socjotechniczne mogą doprowadzić do uruchomienia poleceń na stacji roboczej, a następnie do pobrania kolejnych narzędzi atakującego. W środowisku firmowym może to oznaczać eskalację incydentu z pojedynczej przeglądarki do pełnej kompromitacji endpointu i dalszego ruchu bocznego.
Rekomendacje
Organizacje powinny traktować rozszerzenia przeglądarkowe jako pełnoprawny element powierzchni ataku. Oznacza to potrzebę ich inwentaryzacji, oceny uprawnień oraz regularnego przeglądu zmian dotyczących wydawcy, właściciela i zachowania dodatku po aktualizacjach.
- wdrożyć listę dozwolonych rozszerzeń i blokować dodatki niewymagane biznesowo,
- regularnie audytować uprawnienia rozszerzeń, zwłaszcza tych mających dostęp do wszystkich stron,
- monitorować nietypowe żądania sieciowe, modyfikacje nagłówków HTTP i próby wstrzykiwania skryptów,
- analizować zmiany właściciela i historię aktualizacji popularnych dodatków,
- uwzględnić scenariusz przejęcia zaufanego rozszerzenia w procedurach reagowania na incydenty.
Użytkownicy końcowi powinni usunąć podejrzane dodatki, sprawdzić listę zainstalowanych rozszerzeń i rozważyć zmianę haseł do usług używanych w przeglądarce, jeśli istnieje ryzyko przechwycenia danych. W systemach Windows warto dodatkowo przeanalizować historię poleceń, zdarzenia PowerShell oraz niedawno pobrane pliki wykonywalne.
Podsumowanie
Incydent związany z QuickLens i ShotBird pokazuje, że przejęcie lub odsprzedaż rozszerzenia może stać się skutecznym wektorem ataku na łańcuch dostaw. Wystarczy zmiana kontroli nad wcześniej zaufanym dodatkiem, aby przekształcić go w narzędzie do zdalnego dostarczania kodu, kradzieży danych i eskalacji zagrożenia na poziom systemu operacyjnego.
Dla organizacji to wyraźny sygnał, że zarządzanie rozszerzeniami przeglądarkowymi nie może być traktowane jako kwestia wygody użytkownika. To obszar bezpieczeństwa wymagający takich samych zasad nadzoru, monitorowania i kontroli jak inne aplikacje działające na stacjach roboczych.
Źródła
- https://thehackernews.com/2026/03/chrome-extension-turns-malicious-after.html
- https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options