Новости Используете бесплатный VPN в Chrome или Firefox? Поздравляем, ваши пароли уже на чужом сервере

MrFoxi

Dublikat Friends
Подтвержденный
Регистрация
27.11.2022
Сообщения
349
Реакции
109
Депозит
𝟐𝟎𝟎𝟎 𝐔𝐒𝐃𝐓
Сделок через Гаранта
77
Сервис долго притворялся помощником и ждал удобного момента для атаки.

Браузерные расширения просят всё больше прав, но в случае с бесплатным VPN пользователи получили не защиту приватности, а скрытый канал для кражи скопированных данных. Специалисты Socket обнаружили два расширения под брендом VPN Go, которые распространялись через Chrome Web Store и каталог дополнений Firefox и выдавали себя за бесплатные VPN-сервисы.

На момент анализа расширение для Chrome насчитывало 146 пользователей, версия для Firefox — 3499 пользователей. Оба продукта показывали обычные функции прокси и позволяли выбирать VPN-локации, поэтому широкие сетевые разрешения выглядели правдоподобно. Вредоносная часть работала параллельно и следила за буфером обмена.

Схема развивалась через обновления. Первая изученная версия для Chrome, опубликованная 22 декабря 2025 года, вела себя как обычное прокси-расширение. 31 мая 2026 года в версии 1.1 появился код для чтения буфера обмена. В Firefox вредоносная логика впервые нашлась в версии 1.3.3. Более поздние версии сохранили кражу данных, но сменили инфраструктуру.

Механизм был простым и опасным. Расширение регулярно читало скопированный текст, пропускало повторы, делило новые данные на фрагменты примерно по 1000 символов и отправляло их на жёстко заданные HTTP-адреса. В Chrome проверка запускалась каждые полсекунды через скрипт на всех сайтах, в Firefox похожая логика работала из фонового скрипта раз в полторы секунды.

Такой подход не требует взлома системы напрямую. Пользователь сам копирует пароли, коды многофакторной аутентификации, API-ключи, токены, seed-фразы или адреса криптокошельков, а расширение получает доступ к этим данным через разрешение на чтение буфера обмена. Для настоящего VPN такое право не нужно, как и постоянная отправка фрагментов текста на IP-адреса по HTTP.


Socket передала информацию о расширениях Google и Mozilla для проверки и удаления. Пользователям советуют удалить VPN Go: Free VPN из Chrome и Free VPN by VPN GO из Firefox, если расширения были установлены. Все секреты, которые копировались при активном расширении, лучше считать раскрытыми и заменить.


Организациям стоит проверить установленные расширения, отдельно просмотреть права clipboardRead, proxy, tabs, webRequest и доступ ко всем сайтам, а также искать исходящие HTTP-запросы к выявленным адресам с параметрами uid, part, total и data.
 
Верх Низ