Вредоносные дополнения для браузеров продолжают оставаться значительным уязвимым местом в системах безопасности многих компаний. Эти инструменты прочно вошли в арсенал злоумышленников: их используют для кражи сессионных данных и учётных записей, шпионажа, сокрытия противоправных действий, рекламного мошенничества и хищения криптоактивов. Крупные инциденты с такими дополнениями происходят регулярно — от взлома защитного расширения Cyberhaven до массового распространения плагинов, скрытно собирающих конфиденциальную информацию.
Для злоумышленников расширения привлекательны тем, что получают широкие права доступа к данным веб-приложений и сайтов напрямую в браузере. При этом они не считаются автономными программами, что позволяет обходить стандартные политики безопасности и средства контроля.
Решение проблемы требует системного подхода. Чтобы эффективно управлять браузерными дополнениями в компании, необходимо сочетать политики безопасности со специализированными платформами анализа. Именно этой теме был посвящён доклад Афанасиоса Гиатсоса на Security Analyst Summit 2025.
Опасный потенциал веб-расширений и изменения Manifest V3
Браузерные расширения обладают полным доступом к содержимому веб-страниц, что позволяет злоумышленникам читать и изменять любую информацию, включая финансовые и медицинские данные. Дополнения часто взаимодействуют с критически важными системными данными: cookies, localStorage, настройками прокси. Это упрощает кражу сессий. Некоторые расширения имеют ещё более широкие возможности: доступ к геолокации, загрузкам, содержимому буфера обмена, уведомлениям и даже захвату изображения с экрана.
В предыдущей архитектуре Manifest V2 (работавшей в Chrome, Edge, Firefox и других браузерах) расширения могли постоянно выполнять фоновые скрипты, обращаться к произвольным сайтам и выполнять динамически загружаемый код. Google ввела Manifest V3 для борьбы со злоупотреблениями. Новая версия ограничила функциональность: запрещена динамическая загрузка кода, фоновые скрипты заменены временными сервисами, обязательна декларация всех запрашиваемых доменов. Хотя некоторые атаки усложнились, злоумышленники адаптируют вредоносный код, сохраняя ключевые функции. Поэтому переход исключительно на Manifest V3 упрощает мониторинг, но не решает проблему полностью.
Ключевая уязвимость сохраняется: расширения загружаются из официальных магазинов (Google, Microsoft, Mozilla), их активность имитирует легитимные действия браузера, а различить действия пользователя и расширения крайне сложно.
Пути проникновения вредоносных расширений
На основе реальных кейсов Афанасиос Гиатсос выделил основные сценарии:
- Легитимный разработчик продаёт популярное дополнение. Новый владелец внедряет вредоносный функционал (The Great Suspender, Page Ruler);
- Компрометация аккаунта разработчика и публикация обновления с троянским кодом (Cyberhaven);
- Создание изначально вредоносного расширения, маскирующегося под полезный инструмент (аналоги Save to Google Drive) или клонирующего популярные решения (многочисленные подделки AdBlock);
- Усложнённая схема: изначально «чистое» расширение со временем получает вредоносное обновление после набора популярности (пример: ChatGPT for Google).
В этих случаях дополнения распространяются через официальные магазины, иногда с рекламной поддержкой. Также существует целевой фишинг, когда жертве навязывают установку недоступного публично вредоносного расширения.
Централизованное распространение через веб-магазины и автоматические обновления позволяют внедрять вредоносы без активных действий пользователя — достаточно обновить уже установленное расширение.
Меры защиты от вредоносных дополнений
Афанасиос предложил базовые рекомендации:
- Разработать корпоративную политику использования браузерных расширений;
- Заблокировать установку неутверждённых дополнений;
- Проводить регулярные проверки установленных расширений и их версий;
- Контролировать изменения разрешений при обновлениях, а также смену владельцев и разработчиков;
- Включить тему рисков браузерных расширений в программу обучения по кибербезопасности.
Контролируемый перечень браузеров и расширений. Помимо настройки политик для основного браузера, нужно запретить portable-версии и альтернативные решения (например, ИИ-браузеры вроде Comet), допускающие установку опасных дополнений. Важно ограничить права локальных администраторов только ИТ-специалистами и ответственными сотрудниками.
В настройках основного браузера следует отключить режим разработчика и установку расширений из локальных файлов. Для Chrome эти настройки доступны через админ-панель, групповые политики Windows, профили macOS или JSON-конфиги на Linux.
Управление обновлениями. Для предотвращения автоматических обновлений разрешённых расширений применяйте закрепление версий (pinning). ИТ- и ИБ-отделы должны тестировать новые версии перед развёртыванием.
Многоуровневая безопасность. Для блокировки неавторизованных браузеров и снижения рисков используйте EDR-решения на всех устройствах. На сетевом уровне отслеживайте DNS-запросы и трафик для выявления подозрительных соединений.
Непрерывный мониторинг. С помощью EDR и SIEM собирайте детальную информацию о браузерах: список расширений, их версии, manifest-файлы для анализа разрешений. Это помогает оперативно обнаруживать новые или изменённые дополнения.
Методы анализа браузерных расширений
Для реализации этих мер компании потребуется собственный перечень разрешённых и запрещённых дополнений. Официальные магазины не предоставляют инструментов для оценки рисков в корпоративном масштабе, поэтому ИБ-отделу придётся создать эту базу вручную, включая процедуру подачи запросов на добавление.
Оценку бизнес-потребности следует согласовывать с заинтересованными подразделениями, а анализ рисков остаётся за ИБ. Для проверки не обязательно скачивать расширения вручную — существуют бесплатные инструменты:
Общую оценку угроз проводят онлайн-сервисы Spin.AI и Koidex (бывший ExtensionTotal). В их базах есть сведения о популярных расширениях: разрешения, история версий, статистика загрузок. Для аналитики используются LLM, генерирующие текстовые отчёты.
Данные из магазинов расширений можно получить через Chrome-Stats. Сервис позволяет скачивать текущие и предыдущие версии дополнений, что полезно при расследовании инцидентов.
Для детального анализа подозрительных дополнений используйте CRX Viewer. Инструмент позволяет изучать внутреннюю структуру расширений с упором на HTML- и JavaScript-код.