Фейковые VPN-аддоны для Chrome оказались инструментом тотального шпионажа

Екатерина Быстрова 23 Декабря 2025 - 18:14

Домашние пользователи

...

Исследователи по кибербезопасности обнаружили две вредоносные версии расширения Google Chrome Phantom Shuttle, которые маскируются под сервис для тестирования скорости сети, а на деле перехватывают интернет-трафик и крадут пользовательские данные.

О находке рассказали специалисты компании Socket. Оба расширения имеют одинаковое название и опубликованы одним разработчиком, но отличаются ID и датой выхода.

Первое появилось ещё в 2017 году и насчитывает около 2 тысяч установок, второе — в 2023 году и используется примерно 180 пользователями. Оба до сих пор доступны в магазине Chrome.

Phantom Shuttle рекламируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по внешней торговле. Пользователям предлагают оформить подписку стоимостью от 9,9 до 95,9 юаня (примерно 110-1064 рублей), якобы для доступа к VPN-функциям.

На практике же, как объясняет исследователь Socket Куш Пандья, за платной подпиской скрывается полноценный инструмент слежки:

«Расширения перехватывают весь трафик, работают как прокси с функцией “Человек посередине“ (MitM) и постоянно отправляют данные пользователей на управляющий сервер злоумышленников».

После оплаты пользователю автоматически включается режим VIP и так называемый smarty-proxy. В этом режиме трафик с более чем 170 популярных доменов перенаправляется через серверы атакующих.

В списке целевых ресурсов — GitHub, Stack Overflow, Docker, AWS, Azure, DigitalOcean, Cisco, IBM, VMware, а также Facebook, Instagram (обе соцсети принадлежат Meta, признанной экстремистской и запрещенной в России), X (Twitter) и даже сайты для взрослых. Последние, по мнению исследователей, могли быть добавлены с расчётом на возможный шантаж жертв.

При этом расширение действительно выполняет заявленные функции — показывает задержки, статус соединения и создаёт иллюзию легального сервиса.

Внутри расширения исследователи нашли модифицированные JavaScript-библиотеки, которые автоматически подставляют жёстко прописанные логин и пароль прокси при любом запросе HTTP-аутентификации. Всё происходит незаметно для пользователя — браузер даже не показывает окно ввода данных.

Далее аддон:

настраивает прокси через PAC-скрипт;
получает позицию MitM;
перехватывает логины, пароли, cookies, данные форм, API-ключи, токены и номера карт;
каждые пять минут отправляет на сервер злоумышленников адрес электронной почты и пароль пользователя в открытом виде.

В Socket считают, что схема выстроена профессионально: подписочная модель удерживает жертв и приносит доход, а внешний вид сервиса создаёт ощущение легитимности.

Эксперты рекомендуют немедленно удалить Phantom Shuttle, если оно установлено. Для компаний и ИБ-команд вывод ещё шире: браузерные расширения становятся отдельным и часто неконтролируемым источником риска.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Июня 2026 - 18:10

Kaspersky Container Security Корпорации Сетевая безопасность Защита контейнерных сред (Container Security) Лаборатория Касперского

Kaspersky Container Security добавил собственные политики безопасности

«Лаборатория Касперского» выпустила обновление Kaspersky Container Security (KCS). В новой версии разработчики сделали ставку на гибкость настройки, контроль цепочек поставок ПО и ускорение работы платформы. Одним из главных нововведений стала возможность создавать собственные политики безопасности.

Теперь компании могут настраивать правила защиты контейнеров, контроля доступа и критерии безопасности под свои внутренние требования, а не ограничиваться стандартными шаблонами.

Ещё одна заметная функция — экспорт и импорт полной конфигурации системы. Пользователи могут сохранить политики, профили, настройки агентов и другие параметры в одном файле, а затем перенести их на другой экземпляр продукта. Это особенно актуально для крупных организаций с распределённой инфраструктурой и несколькими площадками.

Обновление также затронуло безопасность цепочек поставок ПО. В KCS появились специальные механизмы для поиска ошибок конфигурации в GitHub Actions. Решение умеет выявлять потенциально опасные настройки, включая небезопасный запуск рабочих процессов, ошибки обработки входных данных и проблемы с управлением версиями.

Подобные ошибки могут использоваться злоумышленниками для внедрения вредоносного кода в сборки или компрометации инфраструктуры разработки.

Кроме того, платформа получила расширенный аудит Kubernetes-кластеров. Агенты безопасности теперь поддерживаются на мастер-нодах, что позволяет анализировать состояние плоскости управления и обнаруживать потенциально опасные конфигурации на критически важных уровнях инфраструктуры.

Не обошлось и без оптимизации производительности. По данным разработчиков, производительность узлов-агентов выросла в 2,5 раза, а скорость работы механизма динамического контроля доступа (DAC) увеличилась в 10 раз благодаря кэшированию результатов сканирования.

Также пользователи получили возможность экспортировать результаты анализа контейнерных образов в формате SBOM, что упрощает контроль состава программного обеспечения и интеграцию с системами управления уязвимостями.

Ещё одно полезное изменение — динамическое обновление агентов без повторного развёртывания. Это позволяет менять настройки безопасности без остановки сервисов и перезапуска инфраструктуры.

В итоге обновление получилось ориентированным прежде всего на DevSecOps-команды и специалистов по контейнерной безопасности, которым приходится одновременно решать задачи автоматизации, контроля конфигураций и защиты цепочек поставок программного обеспечения.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!