Эксперты по кибербезопасности выявили опасную угрозу для пользователей браузера Chrome: поддельные VPN-расширения, которые годами распространялись через официальный магазин расширений, тайно перехватывают интернет-трафик и похищают учетные данные. Несмотря на легитимный внешний вид и рабочий функционал, эти плагины фактически выполняют роль инструмента тотального слежения.
Речь идет о двух вредоносных расширениях с одинаковым названием Phantom Shuttle, которые маскируются под VPN-сервисы и инструменты тестирования сетевой задержки. По данным аналитиков компании Socket.dev, расширения активны как минимум с 2017 года и за это время были установлены более чем 2 180 пользователями через Chrome Web Store.
Легальный фасад и платная модель
Особую опасность данной схемы представляет тот факт, что расширения не выглядели как типичное вредоносное ПО. Напротив, они предлагали платную подписку, принимали оплату через официальные платежные системы, включая Alipay и WeChat Pay, и действительно предоставляли работающий прокси-сервис.
Стоимость подписки варьировалась от 9,9 до 95,9 юаня (примерно от 1,4 до 13,5 доллара США). Пользователи видели интерфейс с показателями задержки, статусом соединения и выбором серверов, что создавало иллюзию надежного VPN. На практике же этот «сервис» служил прикрытием для гораздо более опасной активности.
Полный перехват трафика и атака «человек посередине»
В ходе технического анализа специалисты выяснили, что Phantom Shuttle реализует полноценный перехват HTTP-аутентификации на всех сайтах, которые посещает пользователь. Расширение незаметно внедряется в процесс авторизации и подменяет учетные данные, перенаправляя весь трафик через серверы злоумышленников.
Для этого используется заранее зашитая пара прокси-учетных данных:
- имя пользователя: topfany
- пароль: 963852wei
Эти данные автоматически подставляются без какого-либо уведомления пользователя. Таким образом, атакующий получает возможность видеть, изменять и анализировать весь интернет-трафик жертвы, включая логины, пароли, cookies и содержимое страниц. По сути, реализуется классическая атака типа man-in-the-middle, но в браузере пользователя и с его «добровольного» согласия.
Скрытая реализация и обфускация кода
Вредоносная логика была тщательно замаскирована. Она скрывалась внутри модифицированных JavaScript-библиотек, включая jquery-1.12.2.min.js и вспомогательный файл scripts.js. Для сокрытия чувствительных данных разработчики применили нестандартную схему кодирования на основе индексов символов, что затрудняло статический анализ.
Ключевой элемент атаки — перехват событий chrome.webRequest.onAuthRequired. Этот механизм позволяет расширению реагировать на запросы аутентификации раньше, чем браузер покажет пользователю окно ввода логина и пароля. Ответ отправляется в синхронном режиме (asyncBlocking), что полностью исключает возможность вмешательства со стороны пользователя.
Постоянная утечка данных на сервер управления
После установки расширение начинает регулярно связываться с сервером управления и контроля (C2), расположенным по домену phantomshuttle.space. Каждые 60 секунд отправляется так называемый «heartbeat»-запрос, подтверждающий активность пользователя.
Кроме того, каждые пять минут, если пользователь активно использует браузер, расширение передает на сервер:
- адрес электронной почты;
- пароли от сайтов;
- статус подписки (VIP-аккаунт).
Передача осуществляется в открытом виде, без шифрования, что дополнительно увеличивает риски компрометации данных.
Почему расширения так долго оставались незамеченными
Эксперты отмечают, что подобные угрозы особенно сложно выявить автоматически. Расширения действительно выполняли заявленные функции, не демонстрировали явных признаков вредоносного поведения и не нарушали базовые правила магазина на уровне пользовательского интерфейса.
Кроме того, использование платной модели и реального прокси-трафика повышало доверие. Многие пользователи исходили из логики: «Если сервис платный и работает — значит, он безопасен».
vpnRussia
Что делать пользователям
По состоянию на 23 декабря 2025 года вредоносные расширения все еще оставались активными, однако аналитики уже направили запросы на их удаление в службу безопасности Google. Тем не менее ответственность за последствия во многом ложится на самих пользователей.
Специалисты настоятельно рекомендуют:
- Немедленно удалить Phantom Shuttle и любые подозрительные VPN-расширения.
- Сменить все пароли, которые использовались в браузере во время работы расширения.
- Проверить активные сессии и устройства в учетных записях.
- Использовать только проверенные VPN-сервисы с прозрачной репутацией и внешними аудитами.
- Относиться с особой осторожностью к браузерным VPN-плагинам, особенно платным и малоизвестным.
Вывод
Этот инцидент наглядно показывает, что даже официальные магазины расширений не гарантируют полной безопасности. Под видом полезных инструментов пользователям могут годами навязывать вредоносные решения, способные полностью скомпрометировать цифровую жизнь. В условиях роста популярности VPN-сервисов в России критически важно проверять не только обещания разработчиков, но и техническую сторону предлагаемых решений.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.