Сеть расширений для Chrome и Edge выполняют вредоносный JavaScript-код внутри поисковика

Кластер получил название Phoenix Invicta. Впервые о нем рассказал разработчик Wladimir Palant в январе 2025 года, а новое расследование показало, что сеть оказалась гораздо масштабнее и опаснее, чем считалось раньше. Авторы исследования нашли около 60 доменов, связанных с инфраструктурой операции, изучили 22 подтвержденных расширения и выяснили, что операторы продолжают активно развивать платформу.

Расследование началось с обычного расширения MyColorPick для выбора оттенков цвета, пишет Securitylab. После установки специалисты заметили, что на каждой открытой странице браузер загружал посторонний файл redirect_checker.js. Скрипт внедрялся не сайтом, а самим расширением. Дальнейший анализ показал, что расширения получают команды с удаленных серверов и могут выполнять произвольный JavaScript-код прямо в контексте посещаемых страниц.

Главная проблема связана с обходом ограничений Manifest V3 — новой модели безопасности Chrome, которая запрещает расширениям загружать удаленный код. Phoenix Invicta нашла способ обойти защиту. Расширения запрашивают доступ ко всем сайтам, удаляют заголовки Content Security Policy, а затем внедряют на страницу собственный тег