Резюме
Нашето разследване разкри координирана кампания, при която множество разширения за Chrome – първоначално безобидни и служещи за несвързани цели – бяха трансформирани в дистанционно контролирани инструменти за инжектиране на съдържание. Въпреки че разширенията изглеждаха безобидни и не изискваха специални разрешения, всяко от тях беше модифицирано, за да изтегля периодично конфигурационен файл от контролиран от хакера домейн. Тези динамични правила позволяваха на разширенията да презаписват съдържание на уеб страници, да инжектират външен HTML код и да манипулират сайтове, посещавани от потребителя, без да е необходима актуализация на уеб магазина.
Анализът на инфраструктурата разкри, че е въведена злонамерена функционалност на разширенията веднага след прехвърляне на собствеността в уеб магазина на Chrome, модел, наблюдаван в няколко случая. Успоредно с това, бяха регистрирани домейните за командване и контрол (C2), използвани за предоставяне на отдалечени инструкции малко преди публикуването на компрометираните актуализации, което предполага предварителна подготовка на инфраструктурата на атакуващия. Сближаването на идентична логика за инжектиране, споделени архитектурни модели, синхронизирани регистрации на домейни и промени в кода след придобиването показва, че тези разширения са били компрометирани и операционализирани като част от координирана кампания, подкрепена от инфраструктура а не изолирани инциденти.
Технически анализ
Въпреки че всяко разширение предлагаше различна безобидна функция, вътрешният код имплементираше едни и същи високорискови поведения. Във всички анализирани разширения повтарящ се скрит механизъм позволяваше отдалечено, динамично манипулиране на уеб страници. По-долу ще се съсредоточим върху злонамереното поведение, което се наблюдава във всички забелязани разширения:
- Извличане на отдалечена конфигурация
Всяко разширение се е свързвало с външен сървър на всеки 5 минути, за да изтегли нов конфигурационен файл (config.php или theme.php).
Този файл съдържаше инструкции, контролиращи:
- Към кои уебсайтове да се насочите
- Кои DOM елементи да се променят
- Какъв отдалечен полезен ресурс да се инжектира
Фигура 1. Съвпадение на регулярен израз „location.href“
Тъй като тези конфигурации идват от контролирани от хакери домейни, поведението на разширението може да бъде променено мигновено, без никаква актуализация чрез уеб магазина на Chrome.
Този дизайн ефективно създава канал за командване и управление вътре в браузъра.
- Динамично DOM инжектиране
Изтеглената конфигурация е определила правила като:
- модел – регулярен израз за съпоставяне на целеви уебсайтове
- селектор – елементи в DOM за презаписване
- URL – отдалечена крайна точка, която предоставя инжектиран HTML/текст
- атрибут – свойството на DOM, което да се замени (напр. innerHTML, src, href)
Фигура 2. Замяна на DOM обект
Разширенията използваха тези правила, за да извличат контролирано от атакуващия софтуер съдържание и да го инжектират директно в уеб страници:
Това позволява на отдалечените сървъри да:
- Замяна на формулярите за вход
- Вмъкване на фишинг наслагвания
- Промяна на финансови или пазарски страници
- Инжектиране на реклами или проследяващи маяци
- Променете съдържанието в социалните медии
Всички без предупреждения, разрешения или видимост за потребителите.
- Постоянна манипулация чрез наблюдатели на мутации
За да се гарантира, че промените не могат да бъдат отменени от уебсайта, разширението използва MutationObserver.
Това непрекъснато прилага повторно инжектирано съдържание всеки път, когато страницата се актуализира, осигурявайки постоянна и скрита манипулация.
Разширенията споделят обща архитектура, предназначена да позволи на отдалечени сървъри пренаписване на всяка уеб страница, която потребителят посещава, тихо и многократно. Това представлява изключително гъвкава и опасна рамка за манипулиране на браузъра, маскирана като безобидни помощни програми.
Анализ на инфраструктурата
Нашето разследване разкри координирана екосистема от прехвърляния на собственост върху разширения, бързо осигурени домейни за командване и контрол (C2) и синхронизирани злонамерени актуализации, силни индикатори, че тези разширения са били компрометирани и операционализирани като част от структурирана кампания, а не като изолирани събития.
- Прехвърляне на собственост върху разширението и оръжейство след придобиване
Историческите метаданни от уеб магазина на Chrome показват последователен модел: разширенията са се държали доброкачествено до скоро след промяната на собствеността им. В множество извадки наблюдавахме:
- Модификация на посочения собственик или разработчик на разширението малко преди злонамерената актуализация.
- Няма доказателства за логика за отдалечена конфигурация в по-ранни версии.
- Внезапно вмъкване на:
- Периодично извличане на отдалечени конфигурационни файлове
- Набори от правила за пренаписване на DOM
- Beacon извиквания към install.php
- Поддържащ код, позволяващ постоянно манипулиране на съдържание
Потребителските отзиви потвърждават тази времева линия, отбелязвайки неочаквано поведение веднага след тези актуализации.
Това е в съответствие с известна стратегия в кампаниите за злоупотреба с разширения: Злонамерените лица купуват разширения с висока степен на инсталиране и ги модернизират с модулна злонамерена рамка.
- Временна връзка между регистрацията на C2 домейн и злонамерените актуализации
Анализът на WHOIS записите за инфраструктурата, използвана от разширенията, разкрива поразителна времева корелация.
Основни наблюдения:
- Домейните бяха регистрирани дни до седмици преди публикуването на злонамерените версии на разширенията.
- Злонамерените актуализации започнаха да отправят заявки към тези домейни почти веднага след като те се включиха онлайн.
- Домейните споделят сходни конвенции за именуване и характеристики на инфраструктурата, което предполага централизирано предоставяне.
Този модел е в съответствие с това, че противниците подготвят оперативна инфраструктура непосредствено преди активирането на компрометирани разширения.
- Чисти срещу злонамерени версии
Сравненията на кода между по-ранни и по-късни версии подчертават ясна точка на пречупване:
Предкомпромитиращи (доброкачествени) версии
- Съдържаше само рекламираната функционалност (напр. редактиране на изображения, видео разпознаване, извличане на DOI).
- Няма външни ресурси за конфигурация.
- Без инжектиране на динамично съдържание.
- Няма механизми за постоянно наблюдение (напр. MutationObservers).
- Няма API за дебъгер или пръстови отпечатъци.
Пост-компрометиращи (злонамерени) версии
- Добавен е цикъл за извличане на отдалечена конфигурация (обикновено 5-минутно запитване).
- Въведена е манипулация на DOM, управлявана от инструкции, използваща правила, съпоставени с регулярни изрази.
- Вграден е енджин за многократна употреба, способен да презаписва произволно съдържание на страница.
- Интегрирани инсталационни маяци за телеметрия обратно към контролирани от нападателя домейни.
Фигура 3. kbaofbaehfbehifbkhplkifihabcicoi преди и след
Разликата силно подкрепя хипотезата за умишлено превръщане на оръжие в оръжие след придобиването му.
- Индикатори за споделен набор от инструменти или унифициран хакер
Сравнението на кръстосаното разширение разкри висока степен на структурно сходство:
- Идентични интервали на запитване (300 секунди).
- Почти идентична логика за разбор на правила за отдалечена конфигурация.
- Последователно именуване на полета като pathMatch, selector, applyMethod, resourceLink.
- Повтарящи се отдалечени крайни точки (config.php, theme.php, install.php).
- Подобни модели за потискане на грешки и безшумни неуспешни извиквания на fetch().
- Съвпадащи модели в начина, по който инжектираното съдържание замества DOM атрибутите.
| Идентификационен номер на разширението | Промяна на собственика | Регистрация на домейни | Злонамерена версия е изпратена |
| kbaofbaehfbehifbkhplkifihabcicoi | 2025-07-19 | 2025-07-27 | 2025-07-30 |
| Последване | 2025-07-23 | 2025-08-20 | 2025-08-27 |
| nimnhhcainjoacphlmhbkodofenjgobh | 2025-07-19 | 2025-08-20 | 2025-08-22 |
| Последване | 2025-04-14 | 2025-08-22 | 2025-08-26 |
| pgfjnclkpdmocilijgalomiaokgjejdm | 2025-07-19 | 2025-08-13 | 2025-08-16 |
| eekibodjacokkihmicbjgdpdfhkjemlf | 2025-09-21 | 2025-09-23 | 2025-09-25 |
| Последване | 2024-09-25 | 2024-09-30 | 2024-10-11 |
| нкбкноохфймкцфнеопнфкапмкблаенокб | 2024-12-13 | 2025-02-03 | 2025-02-07 |
Сливането на множество независимо брандирани разширения предполага един-единствен разработчик на злонамерената рамка или престъпна услуга, предлагаща готов набор от инструменти за превръщане на разширения в оръжия.
Взаимните взаимоотношения между инфраструктурата, времевите рамки и кодовата база показват координирана операция, а не опортюнистична или несвързана злоупотреба.
Кампания за декември 2025 г.
LayerX Security непрекъснато следи случаи, в които преди това доброкачествени разширения на браузъра се превръщат в злонамерени. През декември идентифицирахме няколко допълнителни разширения, публикувани от същите автори, които са се превърнали в злонамерено поведение, разкривайки нова кампания, фокусирана върху превръщането на доброкачествените разширения в агресивен рекламен софтуер.
Разширенията първоначално изглеждат безобидни, имплементирайки проста функционалност. Наред с тази декларирана функционалност обаче, кодът извлича и отдалечена конфигурация от външен сървър. Тази конфигурация съдържа списък с домейни, на които разширението инжектира подвеждащи известия, като всеки от тях вгражда URL адрес, който развива веригата на заразяване.
Фигура 4. Извлечен конфигурационен файл.
Когато потребител посети един от тези домейни, незабавно се показва злонамерено известие, което подтиква към стъпка за „човешка проверка“.
Фигура 5. Фалшиво известие.
Бутонът за потвърждение пренасочва жертвата към последователни страници „не е робот“, които представят само статични изображения, докато във фонов режим скрипт регистрира сервизен работник, снема пръстови отпечатъци от устройството, браузъра и операционната система на потребителя и предава тази информация на pushtorm.net. След това потребителят бива подканен да предостави разрешения за известия.
Фигура 6. Заявка за разрешение.
След като бъде предоставено, разширението многократно доставя натрапчиви реклами чрез същия механизъм за пренасочване и злоупотреба с известия, като ефективно подлага потребителя на постоянно и агресивно поведение на рекламен софтуер.
Заключение
Нашият анализ разкрива, че тези разширения не са изолирани случаи на злонамерено поведение, а компоненти на координирана и развиваща се рамка за разпространение. Въпреки че всяко разширение предлагаше различна доброкачествена функция, те споделяха общ дистанционно управляван механизъм за инжектиране, идентична логика на конфигурация и постоянен 5-минутен цикъл на анкетиране.
Анализът на инфраструктурата допълнително показва, че повечето разширения са били оръжие едва след прехвърляне на собственосттаи контролираните от нападателя домейни за командване и контрол бяха регистриран малко преди злонамерените актуализацииТази тясна връзка силно показва целенасочена, организирана кампания, която придобива легитимни разширения и ги преоборудва с модулен набор от инструменти за инжектиране на съдържание.
Заедно тези открития демонстрират ясна закономерност: мащабируема, централно управлявана система, проектирана да манипулира уеб страници, да разполага произволни полезни товари и да се развива бързо, без да изисква нови актуализации на уеб магазина. Това подчертава значително сляпо петно в настоящите модели за преглед на разширения и подчертава необходимостта от по-силно откриване на поведение при отдалечена конфигурация и злоупотреба с разширения след придобиване.
МОК
Идентификационни номера на разширенията – текущо активни разширения
| ID | Име | Инсталира |
| kbaofbaehfbehifbkhplkifihabcicoi | Редактор на PhotoExpress | 5,000 |
| Последване | Разширение Canva за Chrome | Редактор за дизайн, изкуство и изкуствен интелект | 1,000 |
| nimnhhcainjoacphlmhbkodofenjgobh | Интернет архив Saver | 2,000 |
| Последване | CapCut Видео Редактор и Изтегляне | 6,000 |
| pgfjnclkpdmocilijgalomiaokgjejdm | SnapConnect за Chrome | 2,000 |
| Последване | Плъгин за услуга за печат на HP
|
1,000 |
| гммхцбммнцлгммджимииефхиагмпамдлб | Редактирайте всичко – Подобрете всяка страница | 780 |
| ообфпифйкгеоплкалфгкбиефхоогъл | Blooket Hacker Pro
|
2,000 |
| Последване | Kahoot Hacker
|
1,000 |
| eggegjdejilddmnlglakcaigefefcdaf | InteractiveFics
|
350 |
Идентификатори на разширения – Премахнати от разширенията в магазина
| ID | Име | Инсталира |
| eekibodjacokkihmicbjgdpdfhkjemlf | InteractiveFics | 3,000 |
| Последване | PaperPanda — Получете милиони научни статии | 100,000 |
| нкбкноохфймкцфнеопнфкапмкблаенокб | Vytal – Пародия на часова зона, геолокация, локализация и сигурност | 40,000 |
Домейни и имейли за поддръжка
- themeassets.site
- pixmod.site
- brightlogicassets.com
- safecloudassets.com
- lightwaveassets.com
- cascadepointassets.com
- getxmlppa.com
- syncxmlvyt.com
- interactive-fics.vercel.app
- blookethackerpro.vercel.app
- editabout3xmetoda.vercel.app
- hpext-9udj.vercel.app
- kahoot-ten-gamma.vercel.app
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
- [имейл защитен]
ТТП
| Тактика | Техника |
| Развитие на ресурсите | LX2.001(T1588) – Придобиване на способности |
| Достъп с идентификационни данни | LX8.008 – Подправяне на мрежата |
| Откритие | LX9.003 (T1082) – Откриване на системна информация |
| Командване и контрол | LX11.004 – Установяване на мрежова връзка |
| Въздействие | LX13.004.1 (T1565) – Манипулиране на данни: Манипулиране на съдържание |
Саниране и смекчаване
За потребители
-
Премахнете разширенията, които зареждат отдалечени конфигурационни файлове – всичко, което извлича config.php или theme.php от неизвестни сървъри, е рисковано.
-
Избягвайте разширения, които променят уеб съдържание без ясна обосновка – пренаписване на DOM + отдалечено съдържание = висок риск.
-
Предпочитайте разработчици с висока репутация и известни разработчици – избягвайте „нови“, „неизвестни“ или разширения с ниски оценки.
-
Активност на разширенията за отзиви, използващи вградените инструменти за разширения на Chrome – търсете неочаквани мрежови връзки.
За екипи по сигурността
-
Откриване на често срещани артефакти – Маркиране на разширения, които:
- Извличане на конфигурации за дистанционно инжектиране
- Използвайте заявки с времеви отметки, заобикалящи кеша
- Дефиниране на правила за инжектиране със селектори и шаблони
- Използвайте MutationObservers агресивно
- Използвайте API-тата на Chrome Debugger ненужно
-
Извършване на поведенческо тестване в пясъчник – наблюдение:
- Промени в DOM
- Изходящи мрежови повиквания
- Модифицирани елементи
Време за изтегляне на отдалечени конфигурации
-
Блокиране на известни злонамерени домейни – Следене за домейни, свързани с тези семейства разширения.
