Новости Используете бесплатный VPN в Chrome или Firefox? Поздравляем, ваши пароли уже на чужом сервере

NewsMaker

I'm just a script
Премиум
28,035
46
8 Ноя 2022
Сервис долго притворялся помощником и ждал удобного момента для атаки.


do393xrrp21j929hsq8jymbku4wb05qi.jpg

Браузерные расширения просят всё больше прав, но в случае с бесплатным <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> пользователи получили не защиту приватности, а скрытый канал для кражи скопированных данных. Специалисты Socket обнаружили два расширения под брендом VPN Go, которые распространялись через Chrome Web Store и каталог дополнений Firefox и выдавали себя за бесплатные VPN-сервисы.

На момент анализа расширение для Chrome насчитывало 146 пользователей, версия для Firefox — 3499 пользователей. Оба продукта показывали обычные функции прокси и позволяли выбирать VPN-локации , поэтому широкие сетевые разрешения выглядели правдоподобно. Вредоносная часть работала параллельно и следила за буфером обмена.

Схема развивалась через обновления. Первая изученная версия для Chrome, опубликованная 22 декабря 2025 года, вела себя как обычное прокси-расширение. 31 мая 2026 года в версии 1.1 появился код для чтения буфера обмена. В Firefox вредоносная логика впервые нашлась в версии 1.3.3. Более поздние версии сохранили кражу данных, но сменили инфраструктуру.

Механизм был простым и опасным. Расширение регулярно читало скопированный текст, пропускало повторы, делило новые данные на фрагменты примерно по 1000 символов и отправляло их на жёстко заданные HTTP-адреса. В Chrome проверка запускалась каждые полсекунды через скрипт на всех сайтах, в Firefox похожая логика работала из фонового скрипта раз в полторы секунды.

Такой подход не требует взлома системы напрямую. Пользователь сам копирует пароли, коды многофакторной аутентификации, API-ключи, токены, seed-фразы или адреса криптокошельков, а расширение получает доступ к этим данным через разрешение на чтение буфера обмена . Для настоящего VPN такое право не нужно, как и постоянная отправка фрагментов текста на IP-адреса по HTTP.

Socket передала информацию о расширениях Google и Mozilla для проверки и удаления. Пользователям советуют удалить VPN Go: Free VPN из Chrome и Free VPN by VPN GO из Firefox, если расширения были установлены. Все секреты, которые копировались при активном расширении, лучше считать раскрытыми и заменить.

Организациям стоит проверить установленные расширения, отдельно просмотреть права clipboardRead, proxy, tabs, webRequest и доступ ко всем сайтам, а также искать исходящие HTTP-запросы к выявленным адресам с параметрами uid, part, total и data.
 
Источник новости
www.securitylab.ru

Похожие темы