Extensiile „adormite” din browsere pot deveni malware: cum recunoști add-on-urile care se transformă în instrumente de spionaj

O nouă investigație în domeniul securității cibernetice scoate la iveală o problemă gravă și tot mai frecventă: extensiile de browser care par sigure ani la rând, doar pentru a se transforma, printr-un update ulterior, în malware capabil să spioneze utilizatorii și să extragă date sensibile. Fenomenul, numit de specialiști „sleeper extensions”, afectează toate browserele majore — Chrome, Edge și Firefox — și demonstrează că încrederea acordată unor add-on-uri aparent legitime poate fi exploatată în mod devastator.

Cazul recent analizat de cercetătorii de la Koi Security arată că sute de extensii populare, descărcate de milioane de utilizatori, au funcționat inițial ca aplicații obișnuite, fără comportament suspect. Abia după acumularea unui volum mare de instalări și recenzii pozitive, atacatorii au lansat actualizări care au transformat extensiile în instrumente de supraveghere. Una dintre aceste campanii, ShadyPanda, a atins peste patru milioane de descărcări, demonstrând cât de eficientă poate fi strategia de a „adormi” un add-on înainte de activarea codului malițios.

Cum a funcționat campania ShadyPanda și cum au fost păcăliți utilizatorii

Campania ShadyPanda a început într-o formă aparent inofensivă: 145 de extensii mascate în aplicații de tip wallpaper sau instrumente de productivitate. În faza inițială, acestea injectau coduri de afiliere și redirecționau utilizatorii către site-uri precum eBay, Amazon sau Booking.com pentru comisioane. Comportamentul era deranjant, dar nu neapărat periculos — un truc comercial, nu un atac.

Totul s-a schimbat odată cu lansarea a cinci extensii în 2018, printre care și Clean Master, un „cache cleaner” foarte popular, cu rating de 4,8 stele și mii de recenzii pozitive. Aceste add-on-uri au fost promovate drept „Featured” și „Verified” în Chrome Web Store, ceea ce le-a conferit credibilitate și vizibilitate, atrăgând un număr uriaș de utilizatori.

Mario Mutu s-a transformat. Fiul lui Adrian Mutu, de nerecunoscut la 23 de ani. Apariție rară alături de mama sa, Alexandra Dinu

Horoscop zilnic 9 decembrie 2025. Zodia care trece printr-o despărțire dureroasă

În 2024, o actualizare a activat partea periculoasă a codului: extensiile au primit capacitatea de a verifica orar serverele de comandă și control, de a manipula rezultatele de căutare, de a colecta date, de a monitoriza activitatea din browser și de a o trimite către infrastructura operată de atacatori. Ele au avut acces complet la tab-uri, formulare, istoricul navigării și la alte date sensibile.

Chrome a eliminat aceste extensii între timp, însă campania a continuat pe Microsoft Edge. Alte cinci extensii au fost încărcate în 2023, inclusiv WeTab, două dintre ele fiind identificate ca spyware complet funcțional. La momentul raportării, ele erau încă active.

Un fenomen similar a apărut și în Firefox la începutul aceluiași an: atacatorii au publicat extensii care imitau portofele crypto, au acumulat descărcări și review-uri, apoi au injectat malware pentru a fura seed phrase-uri și fonduri digitale.

De ce sunt periculoase extensiile „adormite” și de ce sunt atât de greu de detectat

Extensiile sleeper sunt greu de identificat pentru că în primele luni sau chiar ani funcționează perfect normal. Utilizatorii nu au motive să fie suspicioși, iar magazinul oficial al browserului validează extensiile pe baza unui comportament inițial legitim.

Aceasta este strategia ideală pentru atacatori:

– acumulezi instalări și încredere,
– eviți sistemele de detecție,
– aștepți momentul potrivit,
– lansezi o actualizare care transformă extensia în malware.

Odată activat, codul malițios poate:

– înregistra tot ce tastează utilizatorul în formulare,
– accesa conturi și parole,
– manipula rezultatele de căutare,
– injecta reclame sau linkuri frauduloase,
– redirecționa traficul către site-uri controlate de atacatori,
– exfiltra date către servere externe.

Pentru utilizator, pericolul este cu atât mai mare cu cât extensiile sunt integrate profund în browser. Ele pot observa aproape orice interacțiune și pot ocoli multe dintre măsurile de protecție implementate la nivel de sistem de operare.

Cum verifici dacă ai extensii malițioase și cum te protejezi pe termen lung

Din păcate, detectarea vizuală a extensiilor periculoase nu este simplă. acestea arată identic cu cele legitime, iar un număr mare de recenzii pozitive poate crea un fals sentiment de siguranță. Pentru campania ShadyPanda, Koi Security a publicat o listă completă cu ID-urile extensiilor — singura metodă sigură de verificare.

Pentru a verifica manual:

În Chrome:
– introdu în bara de adrese: chrome://extensions/
– activează Developer Mode;
– verifică ID-urile extensiilor instalate și caută eventuale potriviri cu cele raportate ca malițioase.
Dacă găsești un add-on periculos, elimină-l imediat.

În Edge:
– aceeași procedură se aplică folosind edge://extensions/.

Pentru a evita instalarea extensiilor compromise în viitor, sunt utile câteva reguli simple:

– verifică atent numele extensiei: imitațiile folosesc adesea denumiri foarte apropiate de cele originale;
– citește descrierea completă și uită-te după greșeli de scriere, imagini nepotrivite și incoerențe;
– evită extensiile cu recenzii multe apărute într-un interval scurt — un semnal clasic de manipulare;
– caută informații suplimentare pe forumuri precum Reddit sau pe Google pentru a vedea dacă add-on-ul a fost raportat;
– instalează doar extensii cu surse clare, legături către site-uri oficiale și istoricul dezvoltatorului vizibil.

Extensiile sleeper reprezintă una dintre cele mai insidioase forme de malware ale ultimilor ani. Ele demonstrează că un add-on verificat astăzi nu este neapărat sigur și mâine. Atacatorii s-au adaptat perfect la ecosistemul browserelor, folosind încrederea și obiceiurile utilizatorilor în avantajul lor.

Cu milioane de descărcări deja compromise în campanii precum ShadyPanda, este clar că amenințarea continuă să crească. Pentru utilizatori, singura apărare reală este vigilența și verificarea periodică a extensiilor instalate, chiar și a celor aparent inofensive.