Работает даже при белом списке
Image

Думаешь, тебя это не коснётся? Каждый может стать целью. Узнай, как защититься.

Значок Featured не спас. Chrome Web Store активно продвигает расширение, умеющее удалённо запускать чужой код

leer en español

6912
Chrome Adblock YouTube JavaScript расширения вредоносы браузеры
Значок Featured не спас. Chrome Web Store активно продвигает расширение, умеющее удалённо запускать чужой код
Chrome Adblock YouTube JavaScript расширения вредоносы браузеры

Специалисты нашли замаскированный алгоритм, который тихо ждёт своего часа.

image

Когда веб-расширение получает доступ ко всем сайтам, даже неактивная возможность запускать код по команде превращается в риск для пользователей. Специалисты Island обнаружили такую архитектуру в популярном расширении Adblock for YouTube для Google Chrome, которое установили более 10 млн раз и которое получило отметку Featured в Chrome Web Store.

Расширение действительно блокирует рекламу на YouTube и на внешних сайтах со встроенными роликами, но вместе с основной функцией содержит механизм для запуска произвольного JavaScript-кода. По данным Island, сценарий можно было активировать всего одной серверной настройкой, без обновления расширения, новой проверки магазина и заметных признаков для пользователя.

Подтверждений, что разработчики уже распространяли таким способом вредоносную нагрузку, нет. Риск связан с самим набором возможностей: расширение имеет доступ ко всем сайтам, умеет менять страницы и получает команды с удалённой стороны. В худшем сценарии такой механизм позволил бы читать содержимое страниц, забирать данные и действовать от имени пользователя в личных аккаунтах, рабочих сервисах или административных панелях.

Дополнительные вопросы вызывает история расширения. Adblock for YouTube появился в Chrome Web Store ещё в 2014 году, позже сменил владельца, а ранние версии содержали SDK для подмешивания рекламы. Такой компонент убрали в июне 2024 года, но с февраля 2025 года в коде оставались пути для удалённого внедрения скриптов. Связанные расширения Adblock for Chrome, Adblock for You и AdBlock Suite ранее уже удаляли из магазина из-за вредоносной активности.

Отдельная проблема кроется в проверке адреса страницы. Хотя расширение связано с YouTube, оно запускается на каждом посещённом сайте и лишь ищет строку «youtube.com» в URL. Такая проверка не сверяет реальный домен и может сработать даже на банковской, корпоративной или любой другой странице, если нужная строка окажется в параметрах адреса.

Разработчику расширения направили запрос на комментарий, но ответа не последовало. На момент анализа Island речь шла о спящей возможности, а не о подтверждённой атаке на пользователей, однако сочетание большой аудитории, широких разрешений и удалённого управления делает подобные расширения серьёзным источником риска.