В частности, дополнения отправляют на внешний хост информацию о каждом переходе пользователя на новый сайт. В ответ дополнению может быть возвращена команда для перенаправления пользователя на другой сайт вместо исходной ссылки. Помимо этого дополнения перехватывают и отправляют на внешний сервер такие данные, как email-адреса, даты рождения, IP-адреса, информацию о конфигурации оборудования и операционной системы.
Отмечается, что проблемные дополнения были выявлены в ноябре, но вредоносная активность в некоторых из них прослеживается с декабря 2018 года, когда замечены первые жалобы некоторых пользователей на открытие других сайтов. Пока не ясно распространялся ли вредоносный код изначально или был добавлен в одном из обновлений после накопления большой пользовательской базы. Также не исключается то, что вредоносный код был добавлен новым владельцем после продажи дополнений автором.
Проблемные дополнения в Chrome Web Store:
- Universal Video Downloader
- Video Downloader for FaceBook
- VK UnBlock. Works fast.
- Odnoklassniki UnBlock. Works quickly.
- Direct Message for Instagram
- DM for Instagram
- Invisible mode for Instagram Direct Message
- Downloader for Instagram
- App Phone for Instagram
- Stories for Instagram
- Vimeo Video Downloader
- Zoomer for Instagram and FaceBook
- Upload photo to Instagram
- Spotify Music Downloader
- The New York Times News
Дополнительно можно отметить выявление в каталоге RubyGems двух вредоносных пакетов — ‘pretty_color-0.8.1.gem’ и ‘ruby-bitcoin-0.0.20.gem’, которые включали код для кражи криптовалюты. После установки пакетов на системах с ОС Windows запускался процесс для анализа буфера обмена, который определял копирование в буфер обмена адресов Bitcoin, Ethereum и Monero и заменял их на кошелёк атакующего, в расчёте на то, что пользователь не заметит подмены и произведён перевод не на тот адрес. В настоящее время вредоносные дополнения уже удалены из RubyGems.
Источник: http://www.opennet.ru/opennews/art.shtml?num=54277