Google удалил из Chrome Web Store расширение QuickLens после того, как новый владелец внедрил в него вредоносный код для кражи криптовалюты. Пострадали около 7000 пользователей — расширение показывало поддельные уведомления об обновлении Chrome на каждом сайте.
QuickLens изначально позволял запускать поиск Google Lens прямо в браузере и даже получил рекомендательный значок от Google. Но 1 февраля 2026 года расширение сменило владельца через ExtensionHub — маркетплейс для продажи браузерных расширений.
Новый владелец support@doodlebuggle.top зарегистрировал компанию "LLC Quick Lens" и 17 февраля выпустил версию 5.8 с вредоносным кодом. Обновление запросило новые разрешения браузера и начало удалять заголовки безопасности со всех веб-страниц — включая Content-Security-Policy и X-Frame-Options.
Как работала атака
Заражённое расширение подключалось к командному серверу api.extensionanalyticspro[.]top каждые 5 минут и получало JavaScript-сценарии для выполнения. Код запускался на каждой странице через технику "1x1 GIF pixel onload" — невидимую картинку размером в пиксель.
Пользователи видели поддельное уведомление "Обновите Google Chrome" на всех сайтах. При клике открывалась ClickFix-атака — окно с просьбой "подтвердить личность", запустив код в командной строке Windows.
Исследователи Annex обнаружили, что вредоносный файл googleupdate.exe был подписан сертификатом китайской компании "Hubei Da'e Zhidao Food Technology Co., Ltd." После запуска троян подключался к drivers[.]solutions для загрузки дополнительных модулей.
Признаки заражения
Пользователи Reddit жаловались: "Это по— на каждом сайте. Думал, Chrome не обновлён, но даже после обновления продолжает показываться. Невозможно ни с чем взаимодействовать на страницах".
Если видите постоянные уведомления об обновлении Chrome: проверьте установленные расширения и удалите подозрительные. Настоящие обновления Chrome происходят автоматически или через меню браузера, а не через всплывающие окна на сайтах.
Эксперты рекомендуют покупать расширения только у проверенных разработчиков и следить за сменой владельцев популярных дополнений.
