Специалисты Koi Security сообщили о масштабной вредоносной схеме, связанной с расширениями для Google Chrome. По их данным, через магазин дополнений продвигались пять плагинов, которые выдавали себя за полезные улучшения для «ВКонтакте» вроде смены оформления и расширения возможностей интерфейса. На практике же эти инструменты работали как троян: суммарно их установили более 500 тысяч раз, после выявления угрозы как минимум одно расширение уже убрали из Chrome Web Store.
Исследователи отмечают, что все дополнения, судя по инфраструктуре и коду, курировал один и тот же злоумышленник. В сети он фигурировал под псевдонимом 2vk и использовал GitHub. Кампания, предположительно стартовавшая в середине 2025 года, в первую очередь бьет по русскоязычной аудитории, хотя пострадавшие фиксировались и в Восточной Европе, Центральной Азии и других регионах.
Главная «фишка» вредоноса была в скрытых действиях внутри соцсети. Расширения автоматически подписывали пользователей на сообщества, подконтрольные атакующему. Сейчас в этих группах, по оценке Koi Security, уже около 1,4 млн участников, что дополнительно создает видимость популярности и «легитимности». Параллельно плагины вмешивались в защитные механизмы, манипулируя CSRF-токенами, что позволяло выполнять операции от имени жертвы без ввода пароля: например, отправлять действия в аккаунте, получать доступ к данным и даже менять почту для восстановления.
Отдельно упоминается монетизация. Одно из расширений внедряло рекламные скрипты «Яндекса» на каждую открытую страницу, обеспечивая прямой доход. Кроме того, в дополнениях была система «пожертвований» за премиум-функции: базовая версия бесплатная, но предлагалась платная pro, из-за чего пользователи рисковали потерять платежные данные, оставаясь при этом под контролем злоумышленников (фото: techradar.com).
