Масштабная атака на браузерные расширения вскрыла уязвимость, о которой пользователи даже не подозревали. Популярный инструмент «Save Image as Type» (Сохранить изображение как), который помогал миллионам людей конвертировать WebP-картинки в привычные форматы, оказался в руках злоумышленников. Результат: более миллиона пользователей Chrome по всему миру стали жертвами скрытой махинации.
Если вы устанавливали это расширение в период с ноября прошлого года, срочно проверьте свой браузер. Даже если оно уже отключено автоматически — лучше удалить его вручную. Специалисты по кибербезопасности обнаружили, что новые владельцы расширения внедрили в него вредоносный код, который незаметно подменял партнерские ссылки и воровал комиссии с покупок в интернет-магазинах.
Расширение сменило владельца в ноябре (по разным данным, между 13 и 29 числом). К концу месяца в код уже были внесены изменения, которые перенаправляли трафик пользователей. Когда жертва заходила на такие сайты, как Amazon, Adidas или Shein, и совершала покупку, комиссия уходила не продавцу или партнерской сети, а в карман хакеров.
Google исключил это расширение из своего магазина еще в начале месяца, но к тому моменту оно уже несколько недель висело в браузерах сотен тысяч людей, собирая данные и перенаправляя запросы.
Все просто: формат WebP становится стандартом для веба. Современные сайты активно используют его, потому что он дает отличное качество картинки при небольшом весе, ускоряя загрузку страниц и экономя трафик.
Но есть нюанс: за пределами браузера WebP поддерживается далеко не всеми программами. Открыть такую картинку в старом фоторедакторе или отправить кому-то в мессенджере бывает проблематично. Поэтому миллионы пользователей ищут простой способ конвертировать WebP обратно в JPG или PNG. Именно на этом спросе и сыграли хакеры.
Раньше злоумышленники создавали поддельные расширения с нуля и пытались раскрутить их. Теперь они действуют хитрее: покупают уже популярные, проверенные инструменты у их создателей. Пользователи доверяют знакомым названиям и не подозревают, что под капотом все давно сгнило.
Группировка, стоящая за атакой (известная как Karma), уже засветилась в захвате десятков других расширений для Chrome и Edge. Эксперт по безопасности Владимир Палант задокументировал их активность еще в конце 2024 — начале 2025 года, обнаружив множество дополнений с одинаковым вредоносным кодом.
Проверить список расширений. Зайдите в настройки браузера Chrome (или Edge) и найдите «Save Image as Type».
Удалить, а не отключить. Если расширение до сих пор висит — безжалостно удалите его.
Почистить следы. XDA Developers опубликовали инструкцию, как проверить систему на наличие «хвостов» от этого расширения. Лучше перебдеть, чем потом менять пароли от всех аккаунтов.
Альтернативы?
Да, есть масса безопасных способов конвертировать WebP: онлайн-конвертеры (но осторожно, не все они безопасны), встроенные возможности фоторедакторов или официальные плагины от проверенных разработчиков. Не рискуйте своей безопасностью ради сиюминутного удобства.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Специалисты из команды Microsoft Defender Security Research Team обнаружили тревожную тенденцию: злоумышленники всё чаще используют обычные HTTP-куки (cookie) в качестве канала управления для PHP-веб-шеллов на Linux-серверах. Такой подход позволяет хакерам удалённо выполнять код на взломанных машинах, оставаясь практически незамеченными.
Компания Cisco выпустила срочные обновления безопасности, закрывающие критическую уязвимость в собственном контроллере Integrated Management Controller (IMC). Если бы злоумышленник смог воспользоваться этой брешью, он получил бы возможность удалённо, без ввода логина и пароля, обойти систему аутентификации и войти в устройство с максимальными привилегиями.
Компания Google выпустила срочное обновление безопасности для своего веб-обозревателя Chrome. В свежем релизе закрыто 21 уязвимость, и одна из них особенно тревожна — разработчики подтвердили, что ею уже активно пользуются злоумышленники в реальных атаках.