Прямо сейчас проверьте свои плагины. Сеть «Phoenix Invicta» уже могла получить скрытый доступ к рабочим паролям
NewsMakerХакеры сломали новейшую защиту Google, пока пользователи просто прибавляли звук в браузере.
Популярные расширения для браузеров годами считались безобидными мелочами вроде пипетки для выбора цвета, блокировщика рекламы или усилителя громкости. Но специалисты 7AI обнаружили крупную сеть расширений для Chrome и Edge, которая превратила такие инструменты в полноценную платформу для скрытого выполнения вредоносного JavaScript-кода прямо внутри браузера пользователя.
Кластер получил название Phoenix Invicta. Впервые о нем рассказал разработчик Wladimir Palant в январе 2025 года, а новое расследование показало, что сеть оказалась гораздо масштабнее и опаснее, чем считалось раньше. Авторы исследования нашли около 60 доменов, связанных с инфраструктурой операции, изучили 22 подтвержденных расширения и выяснили, что операторы продолжают активно развивать платформу.
Расследование началось с обычного расширения MyColorPick для выбора оттенков цвета. После установки специалисты заметили, что на каждой открытой странице браузер загружал посторонний файл redirect_checker.js. Скрипт внедрялся не сайтом, а самим расширением. Дальнейший анализ показал, что расширения получают команды с удаленных серверов и могут выполнять произвольный JavaScript-код прямо в контексте посещаемых страниц.
Главная проблема связана с обходом ограничений Manifest V3 — новой модели безопасности Chrome, которая запрещает расширениям загружать удаленный код. Phoenix Invicta нашла способ обойти защиту. Расширения запрашивают доступ ко всем сайтам, удаляют заголовки Content Security Policy, а затем внедряют на страницу собственный тег
Популярные расширения для браузеров годами считались безобидными мелочами вроде пипетки для выбора цвета, блокировщика рекламы или усилителя громкости. Но специалисты 7AI обнаружили крупную сеть расширений для Chrome и Edge, которая превратила такие инструменты в полноценную платформу для скрытого выполнения вредоносного JavaScript-кода прямо внутри браузера пользователя.
Кластер получил название Phoenix Invicta. Впервые о нем рассказал разработчик Wladimir Palant в январе 2025 года, а новое расследование показало, что сеть оказалась гораздо масштабнее и опаснее, чем считалось раньше. Авторы исследования нашли около 60 доменов, связанных с инфраструктурой операции, изучили 22 подтвержденных расширения и выяснили, что операторы продолжают активно развивать платформу.
Расследование началось с обычного расширения MyColorPick для выбора оттенков цвета. После установки специалисты заметили, что на каждой открытой странице браузер загружал посторонний файл redirect_checker.js. Скрипт внедрялся не сайтом, а самим расширением. Дальнейший анализ показал, что расширения получают команды с удаленных серверов и могут выполнять произвольный JavaScript-код прямо в контексте посещаемых страниц.
Главная проблема связана с обходом ограничений Manifest V3 — новой модели безопасности Chrome, которая запрещает расширениям загружать удаленный код. Phoenix Invicta нашла способ обойти защиту. Расширения запрашивают доступ ко всем сайтам, удаляют заголовки Content Security Policy, а затем внедряют на страницу собственный тег