Extensiile de browser au devenit, în ultimii ani, un vector de atac tot mai frecvent, iar cea mai recentă investigație a Koi Security dezvăluie un fenomen numit „sleeper extensions”. Aceste add‑onuri par sigure la instalare, iar printr-o actualizare ulterioară se transformă în malware capabil să spioneze utilizatorii și să exfiltreze date sensibile. Analiza recentă a evidențiat sute de extensii instalate de milioane de utilizatori, care au trecut de la comportament normal la cod malițios în câteva luni.

Cum a funcționat campania ShadyPanda și cum au fost păcăliți utilizatorii

Campania ShadyPanda a început cu 145 de extensii mascate ca wallpaper sau instrumente de productivitate. În prima etapă, acestea injectau coduri de afiliere și redirecționau utilizatorii către site‑uri comerciale, fără să prezinte pericol direct. Însă, în 2018, cinci dintre ele, inclusiv popularul „Clean Master”, au primit statutul de „Featured” și „Verified” în Chrome Web Store, câștigând rapid încredere și recenzii pozitive.

Actualizarea din 2024 a activat funcționalitățile periculoase ale extensiilor ShadyPanda. Ele au început să verifice serverele de comandă și control, să manipuleze rezultatele de căutare și să colecteze date din tab‑uri, formulare și istoricul navigării. Codul malițios a avut acces complet la informațiile sensibile ale utilizatorilor, trimițându-le către infrastructura atacatorilor.

Chrome a eliminat rapid extensiile compromise, dar atacul a continuat pe Microsoft Edge. În 2023, alte cinci extensii, printre care „WeTab”, au fost încărcate și identificate ca spyware complet funcțional. La data raportării, acestea erau încă active în magazinul oficial al Edge. Un fenomen similar a apărut și în Firefox, unde extensii ce imitau portofele crypto au colectat seed phrase‑uri și fonduri digitale.

De ce sunt periculoase extensiile “adormite” și cum scapă de detecție

Extensiile sleeper funcționează normal în primele luni, iar magazinele de extensii le aprobă pe baza comportamentului legitim. Strategia atacatorilor se bazează pe acumularea de instalări și recenzii pozitive, evitarea sistemelor de detecție și lansarea unei actualizări malițioase la momentul oportun. Odată activate, acestea pot înregistra toate tastele, accesa parole, manipula căutările și redirecționa traficul către site‑uri controlate.

Aceste componente periculoase se integrează adânc în browser, permițând monitorizarea aproape a fiecărei interacțiuni. Din această cauză, măsurile de protecție la nivel de sistem de operare pot fi ocolite cu ușurință, iar utilizatorii nu observă semne evidente de compromitere. Astfel, extensiile sleeper reprezintă una dintre cele mai sofisticate forme de malware în ecosistemul browserelor.

Cum poţi verifica dacă ai extensii malițioase și cum te protejezi

  • În Chrome: deschide chrome://extensions/, activează „Developer Mode” și compară ID‑urile cu lista publicată de Koi Security.
  • În Edge: folosește edge://extensions/ și aplică aceeași verificare.
  • În Firefox: accesează about:addons și verifică ID‑urile raportate ca periculoase.

Paşi de prevenire suplimentari:

  • Verifică denumirea extensiei; imitațiile au adesea greșeli de scriere.
  • Citește descrierea completă și nu te baza doar pe recenzii pozitive.
  • Evită extensiile cu recenzii multiple într-un interval scurt, semnal de manipulare.
  • Caută informații suplimentare pe forumuri și site‑uri de securitate.
  • Instalează extensii cu surse clare, linkuri oficiale și istoricul dezvoltatorului vizibil.

Importanța monitorizării continue

Extensiile sleeper demonstrează că încrederea acordată unui add‑on astăzi nu garantează siguranța mâine. Cu milioane de descărcări compromise în campanii precum ShadyPanda, amenințarea rămâne activă. Utilizatorii trebuie să rămână vigilenți, să verifice periodic extensiile instalate și să se informeze despre evoluțiile în securitatea cibernetică a browserelor.