Два расширения Chrome в интернет-магазине под названием Phantom Shuttle выдают себя за плагины для прокси-сервиса, чтобы перехватывать пользовательский трафик и красть конфиденциальные данные.
Согласно отчёту исследователей с платформы безопасности цепочки поставок Socket, оба расширения всё ещё доступны на официальном маркетплейсе Chrome на момент написания статьи и активны как минимум с 2017 года.
Целевая аудитория Phantom Shuttle — пользователи в Китае, в том числе сотрудники внешнеторговых компаний, которым необходимо тестировать подключение из разных точек страны.
Оба расширения опубликованы под одним и тем же именем разработчика и позиционируются как инструменты для проксирования трафика и проверки скорости сети. Они доступны по подписке стоимостью от 1,4 до 13,6 доллара.
Расширение Phantom Shuttle в интернет-магазине
Скрытая функция кражи данных
Исследователи Socket.dev утверждают, что Phantom Shuttle направляет весь пользовательский веб-трафик через прокси-серверы, контролируемые злоумышленником и доступные по жестко заданным учетным данным. Код, выполняющий эту функцию, добавляется в легитимную библиотеку jQuery.
Вредоносный код скрывает жестко заданные учетные данные прокси-сервера с помощью пользовательской схемы кодирования индекса символов. С помощью прослушивателя веб-трафика расширения могут перехватывать запросы на аутентификацию по протоколу HTTP на любом веб-сайте.
Чтобы автоматически направлять пользовательский трафик через прокси-серверы злоумышленника, вредоносные расширения динамически изменяют настройки прокси-сервера Chrome с помощью скрипта автоматической настройки.
В стандартном «умном» режиме он перенаправляет через прокси-сеть более 170 важных доменов, включая платформы для разработчиков, консоли облачных сервисов, сайты социальных сетей и порталы для взрослых.
В список исключений входят локальные сети и командно-административный домен, чтобы избежать сбоев и обнаружения.
Выступая в роли посредника, расширение может собирать данные из любой формы (учетные данные, данные карты, пароли, личную информацию), красть файлы cookie из HTTP-заголовков и извлекать токены API из запросов.
BleepingComputer связался с Google по поводу того, что расширения всё ещё доступны в интернет-магазине, но комментарий был получен не сразу.
Пользователям Chrome рекомендуется доверять только расширениям от надёжных разработчиков, проверять отзывы нескольких пользователей и обращать внимание на разрешения, запрашиваемые при установке.