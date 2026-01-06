"24 часа" в мейла ти. Разберете големите новини от последното денонощие накуп

Изследователи в областта на сигурността наскоро разкриха две разширения за Chrome, които от години се използват от хакери, за да шпионират дейността на потребители на браузъра в интернет, съобщи Fox News.

И двете разширения са включени в официалния магазин за разширения на Chrome.

Изследователи от Socket откриха две разширения за Chrome с едно и също име - Phantom Shuttle, които се представяха като инструменти за тестване на скоростта на мрежата. Според изследователите разширенията са активни от поне 2017 г.

И двете разширения са с едно и също име и са предлагани на работници в областта на външната търговия за тестване на интернет връзката в различни региони. Те се продават като инструменти на абонаментен принцип, с цени вариращи от около 1,40 до 13,60 долара.

На пръв поглед всичко изглежда нормално. Описанията съответстват на функционалността. Цените изглеждат разумни. Проблемът е в това, което правят разширенията след инсталирането.

Изследователите от Socket твърдят, че Phantom Shuttle пренасочва целия ви уеб трафик през прокси сървъри, контролирани от хакера. Тези прокси сървъри използват твърдо кодирани идентификационни данни, вградени директно в кода на разширението. За да избегне откриването, злонамерената логика е скрита в нещо, което изглежда като легитимна jQuery библиотека.

Нападателите не са оставили данните за достъп в обикновен текст. Разширенията ги скриват, използвайки специална схема за кодиране на символи. Веднъж активирано, разширението следи уеб трафика и прихваща HTTP автентификационни запитвания на всеки сайт, който посещавате. Това принуждава браузъра ви да пренасочва заявките точно там, където иска нападателят.

В своя стандартен „smarty" режим Phantom Shuttle пренасочва трафика от повече от 170 високоценни домейни през своята прокси мрежа. Този списък включва платформи за разработчици, табла за управление на облачни услуги, сайтове за социални медии и портали с съдържание за възрастни. Локалните мрежи и домейнът за командване и контрол на атакуващия са изключени, вероятно за да се избегне повреждане на системи или повдигане на подозрения.

От Socket препоръчват следните мерки за справяне с проблема:

1. Отворете списъка с разширенията си

2. Прегледайте всичко, което не разпознавате

3. Прегледайте на разрешенията и разрешенията за достъп

5. Деактивирайте всички разширения, които ви се сторят подозрителни

6. Рестартирайте Chrome