Ciche przejęcie: Jak zakupione rozszerzenia Chrome stały się zdalnie sterowanymi narzędziami do manipulacji stronami internetowymi

Streszczenie
Nasze śledztwo ujawniło skoordynowaną kampanię, w której wiele rozszerzeń przeglądarki Chrome – początkowo nieszkodliwych i służących niezwiązanym z nimi celom – zostało przekształconych w zdalnie sterowane narzędzia do wstrzykiwania treści. Chociaż rozszerzenia wydawały się nieszkodliwe i nie wymagały żadnych specjalnych uprawnień, każde z nich zostało zmodyfikowane w celu okresowego pobierania pliku konfiguracyjnego z domeny kontrolowanej przez atakującego. Te dynamiczne reguły pozwalały rozszerzeniom nadpisywać zawartość stron internetowych, wstrzykiwać zewnętrzny kod HTML i manipulować witrynami odwiedzanymi przez użytkownika bez konieczności aktualizacji sklepu internetowego.
Analiza infrastruktury wykazała, że wprowadzono złośliwą funkcjonalność rozszerzeń natychmiast po przeniesieniu własności w sklepie Chrome Web Store, wzorzec zaobserwowany w kilku przypadkach. Równolegle zarejestrowano domeny poleceń i kontroli (C2) używane do zdalnego przekazywania instrukcji na krótko przed opublikowaniem zagrożonych aktualizacji, co sugeruje celowe przygotowanie infrastruktury atakującego. Zbieżność identycznej logiki wstrzykiwania, wspólnych wzorców architektonicznych, zsynchronizowanych rejestracji domen i zmian w kodzie po przejęciu wskazuje, że rozszerzenia te zostały naruszone i wdrożone w ramach… skoordynowana kampania wspierana infrastrukturą a nie incydenty odosobnione.
Analiza techniczna
Chociaż każde rozszerzenie prezentowało inną, nieszkodliwą funkcję, kod wewnętrzny implementował te same zachowania wysokiego ryzyka. We wszystkich analizowanych rozszerzeniach powtarzający się, ukryty mechanizm umożliwiał zdalną, dynamiczną manipulację stronami internetowymi. W dalszej części skupimy się na trwałym złośliwym zachowaniu we wszystkich wykrytych rozszerzeniach:
- Zdalne pobieranie konfiguracji
Każde rozszerzenie nawiązywało kontakt z serwerem zewnętrznym co 5 minut w celu pobrania nowego pliku konfiguracyjnego (config.php lub theme.php).
W pliku tym znajdują się instrukcje sterujące:
- Które strony internetowe wybrać docelowo?
- Które elementy DOM modyfikować
- Jaki zdalny ładunek wstrzyknąć
Rysunek 1. Wyrażenie regularne pasujące do „location.href”
Ponieważ konfiguracje te pochodzą z domen kontrolowanych przez atakujących, zachowanie rozszerzenia można zmienić natychmiast, bez konieczności aktualizacji w sklepie Chrome Web Store.
Ten projekt skutecznie tworzy kanał dowodzenia i kontroli w przeglądarce.
- Dynamiczna iniekcja DOM
Pobrana konfiguracja definiuje takie reguły, jak:
- wzorzec – wyrażenie regularne do dopasowania docelowych witryn internetowych
- selektor – elementy w DOM do nadpisania
- url – zdalny punkt końcowy, który zapewnia wstrzykiwany kod HTML/tekst
- atr – właściwość DOM do zastąpienia (np. innerHTML, src, href)
Rysunek 2. Zamiana obiektu DOM
Rozszerzenia wykorzystały te reguły, aby pobrać kontrolowaną przez atakującego zawartość i wstrzyknąć ją bezpośrednio do stron internetowych:
Dzięki temu serwery zdalne mogą:
- Zastąp formularze logowania
- Wstaw nakładki phishingowe
- Modyfikuj strony finansowe lub zakupowe
- Wstrzykiwanie reklam lub sygnałów śledzących
- Zmień treść w mediach społecznościowych
Wszystkie produkty bez alertów, uprawnień ani widoczności użytkownika.
- Trwała manipulacja za pomocą obserwatorów mutacji
Aby mieć pewność, że zmiany nie będą mogły zostać cofnięte przez witrynę, rozszerzenie wykorzystuje MutationObserver.
Ta funkcja powoduje ciągłe wprowadzanie wstrzykiwanej zawartości przy każdej aktualizacji strony, zapewniając trwałą i dyskretną manipulację.
Rozszerzenia korzystają ze wspólnej architektury, która umożliwia zdalnym serwerom przepisz dowolną stronę internetową odwiedzaną przez użytkownika, po cichu i wielokrotnie. Stanowi to niezwykle elastyczną i niebezpieczną platformę do manipulacji przeglądarką, podszywającą się pod nieszkodliwe narzędzia.
Analiza infrastruktury
Nasze dochodzenie ujawniło skoordynowany ekosystem transferów własności rozszerzeń, szybko udostępnianych domen dowodzenia i kontroli (C2) oraz zsynchronizowanych złośliwych aktualizacji, co stanowi mocne przesłanki, że rozszerzenia te zostały naruszone i uruchomione w ramach zorganizowanej kampanii, a nie odosobnionych zdarzeń.
- Przeniesienie własności rozszerzeń i uzbrojenie po przejęciu
Historyczne metadane ze sklepu Chrome Web Store pokazują spójny schemat: rozszerzenia zachowywały się łagodnie aż do momentu zmiany właściciela. W wielu próbkach zaobserwowaliśmy:
- Zmiana właściciela lub dewelopera rozszerzenia na liście dokonana na krótko przed złośliwą aktualizacją.
- Brak dowodów na istnienie logiki konfiguracji zdalnej we wcześniejszych wersjach.
- Nagłe wstawienie:
- Okresowe pobieranie plików konfiguracji zdalnej
- Zestawy reguł do przepisywania DOM
- Beacon wywołuje install.php
- Kod pomocniczy umożliwiający trwałą manipulację treścią
Opinie użytkowników potwierdzają tę oś czasu, zwracając uwagę na nieoczekiwane zachowania występujące bezpośrednio po tych aktualizacjach.
Jest to zgodne ze znaną strategią stosowaną w kampaniach nadużywających rozszerzeń: osoby atakujące kupują rozszerzenia wymagające częstej instalacji i modernizują je, wykorzystując modułową, złośliwą infrastrukturę.
- Sprzężenie czasowe między rejestracją domeny C2 a złośliwymi aktualizacjami
Analiza rekordów WHOIS dotyczących infrastruktury wykorzystywanej przez rozszerzenia ujawnia uderzającą korelację czasową.
Najważniejsze obserwacje:
- Domeny zostały zarejestrowane dni do tygodni przed opublikowaniem złośliwych wersji rozszerzeń.
- Złośliwe aktualizacje zaczęły przeszukiwać te domeny niemal natychmiast po ich uruchomieniu.
- Domeny korzystają z podobnych konwencji nazewnictwa i cech infrastruktury, co sugeruje scentralizowane udostępnianie.
Ten schemat jest zgodny z tym, że atakujący przygotowują infrastrukturę operacyjną tuż przed aktywacją naruszonych rozszerzeń.
- Wersje czyste i złośliwe
Porównania kodu starszych i nowszych wersji wyraźnie wskazują na punkt zwrotny:
Wersje przed kompromisem (łagodne)
- Zawierała wyłącznie reklamowaną funkcjonalność (np. edycję obrazu, wykrywanie wideo, wyodrębnianie DOI).
- Brak zewnętrznych zasobów konfiguracyjnych.
- Brak dynamicznego wstrzykiwania treści.
- Brak mechanizmów stałego monitorowania (np. MutationObservers).
- Brak debuggera i interfejsów API do tworzenia odcisków palców.
Wersje po włamaniu (złośliwe)
- Dodano pętlę zdalnego pobierania konfiguracji (zwykle sondowanie trwające 5 minut).
- Wprowadzono sterowanie DOM za pomocą instrukcji, wykorzystując reguły dopasowywania wyrażeń regularnych.
- Wbudowano moduł wstrzykiwania wielokrotnego użytku, który jest w stanie nadpisać dowolną zawartość strony.
- Zintegrowane sygnalizatory instalacyjne do przesyłania danych telemetrycznych do domen kontrolowanych przez atakujących.
Rycina 3. kbaofbaehfbehifbkhplkifihabcicoi przed i po
Różnica ta silnie potwierdza hipotezę celowego użycia broni po jej zdobyciu.
- Wskaźniki wspólnego zestawu narzędzi lub ujednoliconego podmiotu stanowiącego zagrożenie
Porównanie rozszerzeń krzyżowych ujawniło wysoki stopień podobieństwa strukturalnego:
- Identyczne odstępy między sondowaniami (300 sekund).
- Prawie identyczna logika analizowania reguł konfiguracji zdalnej.
- Spójne nazewnictwo pól takich jak pathMatch, selector, applyMethod, resourceLink.
- Powtarzające się zdalne punkty końcowe (config.php, theme.php, install.php).
- Podobne wzorce tłumienia błędów i ciche nieudane wywołania fetch().
- Dopasowanie wzorców w sposobie, w jaki wstrzykiwana treść zastępuje atrybuty DOM.
| Identyfikator rozszerzenia | Zmiana właściciela | Rejestracja domeny | Wysłano złośliwą wersję |
| kbaofbaehfbehifbkhplkifihabcicoi | 2025-07-19 | 2025-07-27 | 2025-07-30 |
| ijhbioflmfpgfmgapjnojopobfncdeif | 2025-07-23 | 2025-08-20 | 2025-08-27 |
| nimnhhcainjoacphlmhbkodofenjgobh | 2025-07-19 | 2025-08-20 | 2025-08-22 |
| jleonlfcaijhkgejhhjfjinedgficgaj | 2025-04-14 | 2025-08-22 | 2025-08-26 |
| pgfjnclkpdmocilijgalomiaokgjejdm | 2025-07-19 | 2025-08-13 | 2025-08-16 |
| eekibodjackokkihmicbjgdpdfhkjemlf | 2025-09-21 | 2025-09-23 | 2025-09-25 |
| ggjlkinaanncojaippgbndimlhcdlohf | 2024-09-25 | 2024-09-30 | 2024-10-11 |
| ncbknoohfjmcfneopnfkapmkblaenokb | 2024-12-13 | 2025-02-03 | 2025-02-07 |
Zbieżność wielu niezależnie markowych rozszerzeń sugeruje, że istnieje pojedynczy twórca złośliwej struktury lub usługa przestępcza oferująca gotowy zestaw narzędzi do tworzenia rozszerzeń.
Infrastruktura, harmonogram i powiązania między bazami kodu łącznie wskazują na skoordynowaną operację, a nie na oportunistyczne lub niezwiązane ze sobą nadużycie.
Kampania grudniowa 2025
Firma LayerX Security stale monitoruje przypadki, w których dotychczas nieszkodliwe rozszerzenia przeglądarki przekształcają się w złośliwe. W grudniu zidentyfikowaliśmy kilka kolejnych rozszerzeń opublikowanych przez tych samych autorów, które zaczęły zachowywać się szkodliwie, ujawniając nową kampanię skoncentrowaną na przekształcaniu nieszkodliwych rozszerzeń w agresywne oprogramowanie adware.
Rozszerzenia początkowo wydają się nieszkodliwe, implementując prostą funkcjonalność. Jednak oprócz tej deklarowanej funkcjonalności, kod pobiera również zdalną konfigurację z serwera zewnętrznego. Konfiguracja ta zawiera listę domen, w których rozszerzenie wstrzykuje zwodnicze powiadomienia, z których każda zawiera adres URL, który przyspiesza łańcuch infekcji.
Rysunek 4. Pobrany plik konfiguracyjny.
Gdy użytkownik odwiedza jedną z tych domen, natychmiast wyświetla się złośliwe powiadomienie, zmuszając do wykonania kroku „weryfikacji ludzkiej”.
Rysunek 5. Fałszywe powiadomienie.
Przycisk weryfikacji przekierowuje ofiarę na kolejne strony z komunikatem „nie robot”, które prezentują jedynie statyczne obrazy. W tym samym czasie skrypt rejestruje pracownika usługi (service worker), identyfikuje urządzenie, przeglądarkę i system operacyjny użytkownika, a następnie przesyła te informacje do pushtorm.net. Następnie użytkownik jest proszony o udzielenie uprawnień do powiadomień.
Rysunek 6. Prośba o pozwolenie.
Po udzieleniu zgody na rozszerzenie, użytkownik jest wielokrotnie narażony na ciągłe i agresywne działanie adware'u poprzez ten sam mechanizm przekierowań i powiadomień.
Wniosek
Nasza analiza ujawnia, że te rozszerzenia nie były odosobnionymi przypadkami złośliwego zachowania, lecz elementami skoordynowanej i ewoluującej struktury dystrybucji. Chociaż każde rozszerzenie prezentowało inną, nieszkodliwą funkcję, łączyły je wspólny, zdalnie sterowany mechanizm wstrzykiwania, identyczną logikę konfiguracji i spójny, 5-minutowy cykl odpytywania.
Analiza infrastruktury pokazuje ponadto, że większość rozszerzeń została uzbrojone dopiero po przeniesieniu własnościi domeny poleceń i kontroli kontrolowane przez atakującego były zarejestrowano na krótko przed złośliwymi aktualizacjamiTo ścisłe powiązanie wyraźnie wskazuje na celową, zorganizowaną kampanię, która pozyskuje legalne rozszerzenia i wyposaża je w modułowy zestaw narzędzi do wstrzykiwania treści.
Łącznie te ustalenia wskazują na wyraźny schemat: skalowalny, centralnie zarządzany system zaprojektowany do manipulowania stronami internetowymi, wdrażania dowolnych ładunków i szybkiej ewolucji bez konieczności aktualizacji sklepu internetowego. Uwypukla to istotną lukę w obecnych modelach przeglądu rozszerzeń i podkreśla potrzebę skuteczniejszego wykrywania zachowań związanych z konfiguracją zdalną oraz nadużyć rozszerzeń po ich przejęciu.
IOCs
Identyfikatory rozszerzeń – aktualnie aktywne rozszerzenia
| ID | Imię i nazwisko | Instaluje |
| kbaofbaehfbehifbkhplkifihabcicoi | Edytor PhotoExpress | 5,000 |
| ijhbioflmfpgfmgapjnojopobfncdeif | Rozszerzenie Canva dla Chrome | Edytor projektów, grafiki i sztucznej inteligencji | 1,000 |
| nimnhhcainjoacphlmhbkodofenjgobh | Internet Archive Saver | 2,000 |
| jleonlfcaijhkgejhhjfjinedgficgaj | Edytor i pobieranie wideo CapCut | 6,000 |
| pgfjnclkpdmocilijgalomiaokgjejdm | SnapConnect dla Chrome | 2,000 |
| jnkmepoonohhfijlbajdphhinhkoefjn | Wtyczka usługi drukowania HP
|
1,000 |
| gmmhcbmmnclgmmjimiiefhiagmpamdlb | Edytuj cokolwiek – ulepsz dowolną stronę | 780 |
| ooobfpifjkgeopllkalfgkbiefhooggl | Blooket Hacker Pro
|
2,000 |
| cehifnkfcddaeppdajpfldbpommggaca | Haker Kahoot
|
1,000 |
| jajkoegjdejilddmnlglakcaigefefcdaf | InteractiveFics
|
350 |
Identyfikatory rozszerzeń – usunięto ze sklepu z rozszerzeniami
| ID | Imię i nazwisko | Instaluje |
| eekibodjackokkihmicbjgdpdfhkjemlf | InteractiveFics | 3,000 |
| ggjlkinaanncojaippgbndimlhcdlohf | PaperPanda — Uzyskaj miliony prac badawczych | 100,000 |
| ncbknoohfjmcfneopnfkapmkblaenokb | Vytal – fałszywa strefa czasowa, geolokalizacja, ustawienia regionalne i bezpieczeństwo | 40,000 |
Domeny i adresy e-mail pomocy technicznej
- themeassets.site
- pixmod.site
- brightlogicassets.com
- safecloudassets.com
- lightwaveassets.com
- cascadepointassets.com
- getxmlppa.com
- syncxmlvyt.com
- interactive-fics.vercel.app
- blookethackerpro.vercel.app
- editanything3xmetoda.vercel.app
- hpext-9udj.vercel.app
- kahoot-ten-gamma.vercel.app
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
- [email chroniony]
TTP
| Taktyka | Technika |
| Rozwój zasobów | LX2.001(T1588) - Zdobądź możliwości |
| Dostęp do poświadczeń | LX8.008 - Manipulowanie siecią |
| odkrycie | LX9.003 (T1082) - Odkrywanie informacji o systemie |
| Dowodzenia i kontroli | LX11.004 - Nawiąż połączenie sieciowe |
| Wpływ | LX13.004.1 (T1565) - Manipulacja danymi: Manipulacja treścią |
Remediacja i łagodzenie
Dla użytkowników
-
Usuń rozszerzenia, które ładują zdalne pliki konfiguracyjne — wszelkie pliki pobierające config.php lub theme.php z nieznanych serwerów stwarzają ryzyko.
-
Unikaj rozszerzeń, które modyfikują zawartość stron internetowych bez wyraźnego uzasadnienia - przepisywanie DOM + zdalna zawartość = wysokie ryzyko.
-
Wybieraj rozszerzenia o wysokiej renomie i znanych twórcach — unikaj rozszerzeń „nowych”, „nieznanych” lub tych z niskimi ocenami.
-
Przejrzyj aktywność rozszerzeń, korzystając z wbudowanych narzędzi rozszerzeń przeglądarki Chrome — sprawdź, czy nie występują nieoczekiwane połączenia sieciowe.
Dla zespołów ds. bezpieczeństwa
-
Wykrywaj typowe artefakty — rozszerzenia flagowe, które:
- Pobierz konfiguracje zdalnego wstrzykiwania
- Użyj zapytań z sygnaturą czasową omijających pamięć podręczną
- Zdefiniuj reguły wstrzykiwania za pomocą selektorów i wzorców
- Używaj MutationObservers agresywnie
- Niepotrzebnie korzystaj z interfejsów API debugera Chrome
-
Przeprowadź testowanie w środowisku testowym – Monitoruj:
- Zmiany DOM
- Połączenia wychodzące z sieci
- Zmodyfikowane elementy
Czas pobierania konfiguracji zdalnej
-
Blokuj znane domeny zasobów o charakterze złośliwym — monitoruj domeny powiązane z tymi rodzinami rozszerzeń.





