O recentă investigație în domeniul securității cibernetice a scos la iveală un fenomen tot mai îngrijorător: extensiile de browser care par sigure ani la rând, doar pentru a se transforma ulterior în malware capabil să spioneze utilizatorii și să extragă date sensibile. Acest fenomen, denumit de specialiști „sleeper extensions”, afectează toate browserele majore — Chrome, Edge și Firefox — și evidențiază vulnerabilitățile asociate încrederii nejustificate în add-on-uri aparent legitime.

Cazuri recente analizate de cercetătorii de la Koi Security subliniază pericolul acestor extensii „adormite”. Sute de add-on-uri populare, descărcate de milioane de utilizatori, au funcționat inițial ca aplicații obișnuite, fără comportament suspect. După o perioadă de acumulare a popularității, atacatorii au lansat actualizări care au transformat extensiile în instrumente de supraveghere complet funcționale. Campania ShadyPanda, de exemplu, a atins peste patru milioane de descărcări, demonstrând cât de eficientă poate fi această strategie de a „adormi” un add-on.

În cazul specific al campaniei ShadyPanda, totul a început cu extensii mascate în aplicații de tip wallpaper sau instrumente de productivitate. La început, acestea injectau coduri de afiliere și redirecționau utilizatorii către site-uri comerciale pentru a genera venituri fără a pune probleme. În 2018, au fost promovate extensii precum Clean Master, cu rating de 4,8 stele, și considerate „Verified” în Chrome Web Store, sporind încrederea utilizatorilor. În 2024, o actualizare a activat partea periculoasă: extensiile au căpătat capacitatea de a verifică serverele de comandă și control, manipula rezultatele de căutare și colecta date din browser. Astfel, au obținut acces la tab-uri, formulare, istoricul navigării și alte informații sensibile.

Deși Google a eliminat aceste extensii din Chrome, campania a continuat pe Microsoft Edge, unde au fost încărcate alte extensii periculoase în 2023, inclusiv WeTab. Unele dintre acestea au fost identificate ca spyware complet funcțional, iar la momentul raportării, rămâneau active. Un fenomen similar se manifestă și în Firefox, unde atacatorii au publicat add-on-uri ce imită portofele crypto, cu scopul de a fura seed phrase-uri și fonduri digitale, după acumularea unui număr semnificativ de descărcări și recenzii pozitive.

Extensiile „sleeper” sunt greu de detectat la început deoarece funcționează normal pentru câteva luni sau ani. Manifestările aparent legitime în magazinele de extensii permit atacatorilor să acumuleze încredere și să evite sistemele de detecție. Aceste add-on-uri pot fi activate ulterior prin actualizări malitioase, în momentul în care escaladează la un nivel periculos. Codul malițios instalat poate înregistra tastele tastate, accesa conturi și parole, manipula rezultatele de căutare, injecta reclame sau redirecționa traficul către site-uri controlate de infractori.

Pentru utilizatori, detectarea extensiilor malițioase este dificilă, deoarece arată identic cu cele legitime. În plus, recenziile pozitive și numărul mare de instalări conferă o falsă senzație de siguranță. Singura metodă sigură de verificare este consultarea listelor publice cu ID-urile extensiilor compromise, precum cele publicate de Koi Security. Verificarea manuală a extensiilor instalate în browser, prin introducerea adresei speciale și activarea modului pentru dezvoltatori, ajută la identificarea și eliminarea add-on-urilor periculoase.

Pentru a reduce riscurile, recomandările frecvente includ verificarea atentă a denumirilor și descrierilor extensiilor, evitarea celor cu recenzii suspecte sau rapid apărute, precum și preferința pentru extensii cu surse clare și dezvoltatori cunoscuți. În condițiile în care amenințările cibernetice evoluează rapid, monitorizarea continuă a pluginurilor instalate și informarea frecventă despre noile vulnerabilități rămân cele mai eficiente măsuri de protecție.

Extensiile „sleeper” reprezintă o problemă complexă, care scoate în evidență riscul reprezentat de încrederea acordată add-on-urilor. Pe măsură ce atacurile continuă să se adapteze, utilizatorii trebuie să rămână vigilenți și să se informeze constant despre evoluțiile din domeniul securității cibernetice pentru a-și proteja datele și confidențialitatea.