https://pepelac.news/pl/posts/id13962-wetab-i-infinity-v-zlosliwe-rozszerzenia-chrome-ujawnione

WeTab i Infinity V+: złośliwe rozszerzenia Chrome ujawnione

WeTab i Infinity V+: jak aktualizacje rozszerzeń Chrome i Edge kradły dane

WeTab i Infinity V+: złośliwe rozszerzenia Chrome ujawnione

KOI ujawnia kampanię ShadyPanda: WeTab i Infinity V+ przejmowały Chrome i Edge, zbierały historię, ciasteczka i telemetrię. Sprawdź, jak się chronić.

2025-12-03T07:22:54+03:00

Rozszerzenia WeTab i Infinity V+ znalazły się pod lupą po tym, jak specjaliści ds. cyberbezpieczeństwa poinformowali, że te i kilka innych dodatków do Chrome mogły przez lata po cichu przejmować przeglądarki i zbierać wrażliwe dane. Według KOI w kampanię zostało wciągniętych około 4,3 mln użytkowników Chrome i Microsoft Edge, a trzonem ataku nie był phishing ani socjotechnika, lecz ciche aktualizacje już popularnych dodatków. To szczególnie niepokojące, bo uderza w rutynowe zaufanie do mechanizmu aktualizacji.KOI przypisuje operację grupie określanej jako ShadyPanda. Scenariusz był rozbrajająco pragmatyczny: opublikować w pełni działające rozszerzenia, z czasem zbudować publiczność, oceny i liczbę pobrań, a potem wprowadzić aktualizacje z szkodliwym kodem. Ponieważ sklepy z rozszerzeniami zwykle bardziej drobiazgowo weryfikują wersje startowe niż późniejsze zmiany, narzędzia sprawiające wrażenie godnych zaufania mogły cicho trwać przez długi czas. To gra na cierpliwość, wykorzystująca dobrze znany ślepy punkt.Raport KOI opisuje kilka incydentów, w tym dwie kampanie z 2023 roku. W pierwszej dziesiątki rozszerzeń podszywających się pod paczki tapet i poręczne narzędzia miały śledzić zachowanie użytkowników i modyfikować treści na stronach takich jak eBay, Amazon czy Booking.com, wstrzykując znaczniki afiliacyjne i trackery, by monetyzować zakupy oraz dane o ruchu. W drugim epizodzie złośliwe funkcje powiązano z Infinity V+: rozszerzenie przekierowywało wyszukiwania do zewnętrznego zasobu, przechwytywało pliki cookie, rejestrowało to, co użytkownicy wpisywali w pasku wyszukiwania, i wyprowadzało te dane na zewnętrzne serwery.KOI opisuje też „pierwszy etap”, w którym pięć rozszerzeń otrzymało backdoor umożliwiający zdalne wykonywanie kodu, co dotknęło około 300 tys. użytkowników. Część z nich była dostępna już od 2018–2019 roku i miała nawet odznaki sugerujące rekomendację; w połowie 2024 roku, po wzroście liczby instalacji, miały dostać aktualizację dodającą tylne wejście. Moduł mógł regularnie pobierać polecenia, ściągać dowolny kod JavaScript, uruchamiać go z uprawnieniami API przeglądarki i wstrzykiwać złośliwe treści HTTPS na dowolnej stronie. Zbierał też historię przeglądania, strony odsyłające, znaczniki czasu, trwałe identyfikatory, pełny odcisk przeglądarki i inne dane, starając się jednocześnie nie rzucać w oczy, gdy włączony był tryb deweloperski.Najobszerniejsza część badania dotyczy „drugiego etapu”. KOI podaje, że kolejne pięć rozszerzeń od tego samego dewelopera trafiło do sklepu Edge i łącznie przekroczyło 4 mln instalacji, z których dwa mogły inicjować instalację złośliwego oprogramowania. Najwięcej uwagi przyciągnęło WeTab — rozszerzenie zmieniające stronę nowej karty — któremu przypisuje się około 3 mln instalacji oraz potajne wysyłanie telemetrii, w tym odwiedzanych adresów URL, wyników wyszukiwania, kliknięć myszy, odcisku przeglądarki, interakcji na stronach i zdarzeń dostępu do pamięci. Dane, jak opisuje KOI, trafiały przez liczne domeny, a mechanizm aktualizacji sprawiał, że zainfekowane przeglądarki można było w dowolnej chwili przekształcić w sterowalne węzły do kolejnych ataków.Cały ten obraz obnaża, jak kruchy jest model zaufania wokół rozszerzeń: nawet popularny, dobrze oceniany dodatek może po aktualizacji zmienić swoje oblicze. Praktyczna wskazówka jest prosta, ale warta powtórzenia — przejrzyj zainstalowane rozszerzenia, usuń to, czego nie potrzebujesz, uważnie weryfikuj uprawnienia, a jeśli przeglądarka zaczyna zachowywać się nietypowo, uruchom kontrolę systemu i zmień hasła, zwłaszcza gdy rozszerzenie mogło mieć dostęp do ciasteczek i historii przeglądania.

WeTab, Infinity V+, rozszerzenia Chrome, rozszerzenia Edge, ShadyPanda, KOI, złośliwe aktualizacje, kradzież danych, telemetria, cookies, prywatność, cyberbezpieczeństwo, backdoor, przeglądarka

2025

Danny Weber

news

WeTab i Infinity V+: jak aktualizacje rozszerzeń Chrome i Edge kradły dane

KOI ujawnia kampanię ShadyPanda: WeTab i Infinity V+ przejmowały Chrome i Edge, zbierały historię, ciasteczka i telemetrię. Sprawdź, jak się chronić.

Danny Weber, Editor

07:22 03-12-2025

KOI przypisuje operację grupie określanej jako ShadyPanda. Scenariusz był rozbrajająco pragmatyczny: opublikować w pełni działające rozszerzenia, z czasem zbudować publiczność, oceny i liczbę pobrań, a potem wprowadzić aktualizacje z szkodliwym kodem. Ponieważ sklepy z rozszerzeniami zwykle bardziej drobiazgowo weryfikują wersje startowe niż późniejsze zmiany, narzędzia sprawiające wrażenie godnych zaufania mogły cicho trwać przez długi czas. To gra na cierpliwość, wykorzystująca dobrze znany ślepy punkt.

Raport KOI opisuje kilka incydentów, w tym dwie kampanie z 2023 roku. W pierwszej dziesiątki rozszerzeń podszywających się pod paczki tapet i poręczne narzędzia miały śledzić zachowanie użytkowników i modyfikować treści na stronach takich jak eBay, Amazon czy Booking.com, wstrzykując znaczniki afiliacyjne i trackery, by monetyzować zakupy oraz dane o ruchu. W drugim epizodzie złośliwe funkcje powiązano z Infinity V+: rozszerzenie przekierowywało wyszukiwania do zewnętrznego zasobu, przechwytywało pliki cookie, rejestrowało to, co użytkownicy wpisywali w pasku wyszukiwania, i wyprowadzało te dane na zewnętrzne serwery.

KOI opisuje też „pierwszy etap”, w którym pięć rozszerzeń otrzymało backdoor umożliwiający zdalne wykonywanie kodu, co dotknęło około 300 tys. użytkowników. Część z nich była dostępna już od 2018–2019 roku i miała nawet odznaki sugerujące rekomendację; w połowie 2024 roku, po wzroście liczby instalacji, miały dostać aktualizację dodającą tylne wejście. Moduł mógł regularnie pobierać polecenia, ściągać dowolny kod JavaScript, uruchamiać go z uprawnieniami API przeglądarki i wstrzykiwać złośliwe treści HTTPS na dowolnej stronie. Zbierał też historię przeglądania, strony odsyłające, znaczniki czasu, trwałe identyfikatory, pełny odcisk przeglądarki i inne dane, starając się jednocześnie nie rzucać w oczy, gdy włączony był tryb deweloperski.

Najobszerniejsza część badania dotyczy „drugiego etapu”. KOI podaje, że kolejne pięć rozszerzeń od tego samego dewelopera trafiło do sklepu Edge i łącznie przekroczyło 4 mln instalacji, z których dwa mogły inicjować instalację złośliwego oprogramowania. Najwięcej uwagi przyciągnęło WeTab — rozszerzenie zmieniające stronę nowej karty — któremu przypisuje się około 3 mln instalacji oraz potajne wysyłanie telemetrii, w tym odwiedzanych adresów URL, wyników wyszukiwania, kliknięć myszy, odcisku przeglądarki, interakcji na stronach i zdarzeń dostępu do pamięci. Dane, jak opisuje KOI, trafiały przez liczne domeny, a mechanizm aktualizacji sprawiał, że zainfekowane przeglądarki można było w dowolnej chwili przekształcić w sterowalne węzły do kolejnych ataków.

Cały ten obraz obnaża, jak kruchy jest model zaufania wokół rozszerzeń: nawet popularny, dobrze oceniany dodatek może po aktualizacji zmienić swoje oblicze. Praktyczna wskazówka jest prosta, ale warta powtórzenia — przejrzyj zainstalowane rozszerzenia, usuń to, czego nie potrzebujesz, uważnie weryfikuj uprawnienia, a jeśli przeglądarka zaczyna zachowywać się nietypowo, uruchom kontrolę systemu i zmień hasła, zwłaszcza gdy rozszerzenie mogło mieć dostęp do ciasteczek i historii przeglądania.