Ukryte ryzyka rozszerzeń przeglądarkowych
Dlaczego intruzi wykorzystują rozszerzenia do cyberataków
Rozszerzenia są tak atrakcyjnym celem dla atakujących z jednego prostego powodu: posiadają uprzywilejowany dostęp. Działają wewnątrz przeglądarki, co daje im wgląd w niemal wszystko, co robisz online. Mogą odczytywać i modyfikować treść każdej odwiedzanej strony, przechwytywać dane wpisywane w formularzach i komunikować się z zaawansowanymi interfejsami programistycznymi (API) przeglądarki, takimi jak Chrome API czy Firefox API.
Chociaż platformy takie jak Google wprowadzają mechanizmy bezpieczeństwa, na przykład Manifest V3, mające ograniczyć nadmierne uprawnienia, złośliwe rozszerzenia wciąż trafiają do oficjalnych sklepów. Często podszywają się pod legalne, popularne narzędzia, co skutecznie usypia czujność użytkowników, którzy instalują je, wierząc w bezpieczeństwo zapewniane przez oficjalny kanał dystrybucji.
Kradzież danych i inwigilacja
Złośliwe rozszerzenia mogą prowadzić szereg pasywnych, ale wysoce destrukcyjnych działań, często bez wiedzy użytkownika.
Kradzież ciasteczek i przejmowanie sesji (session hijacking). Rozszerzenia mogą odczytywać i wykradać ciasteczka (cookies) przechowywane przez przeglądarkę. Wśród nich znajdują się tzw. ciasteczka sesyjne, które pozwalają na zalogowanie do serwisów internetowych. Przechwytując je, hakerzy mogą uzyskać dostęp do twoich kont na portalach społecznościowych, poczcie czy w banku, bez znajomości hasła. Dobrym historycznym przykładem jest rozszerzenie SessionManager (2022), które specjalizowało się w kradzieży właśnie tego typu danych.
Rejestrowanie klawiszy (keylogging) i kradzież danych z formularzy. Poprzez wstrzykiwanie własnych skryptów do odwiedzanych stron, rozszerzenia mogą monitorować każde naciśnięcie klawisza. W ten sposób przechwytują hasła, dane kart kredytowych, prywatne wiadomości i inne poufne informacje wpisywane w formularzach logowania czy płatności.
Monitorowanie aktywności i inwigilacja. Możliwości szpiegowskie rozszerzeń są znacznie szersze. Mogą one śledzić całą historię przeglądania, robić zrzuty ekranu aktywnej karty, a nawet, po uzyskaniu odpowiednich uprawnień, aktywować kamerę i mikrofon. Przykładem z przeszłości jest Marauder’s Map (2015), rozszerzenie, które wykorzystywało dane z Facebooka do śledzenia lokalizacji znajomych na mapie w czasie rzeczywistym.
Fałszowanie treści i komunikacji sieciowej w Internecie
Poza pasywną kradzieżą danych, rozszerzenia mogą aktywnie modyfikować to, co widzisz i robisz w sieci.
Wstrzykiwanie reklam (ad-injection). Jedną z popularniejszych metod monetyzacji złośliwych rozszerzeń jest podmiana legalnych reklam na stronach internetowych na własne. Te fałszywe reklamy często prowadzą do stron phishingowych, wyłudzających dane lub zawierających złośliwe oprogramowanie. Przykładem takiego działania było rozszerzenie Copyfish (2017), które oprócz swojej nominalnej funkcji potrafiło wstrzykiwać niechciane reklamy.
Modyfikacja zawartości stron. Atakujący mogą pójść o krok dalej i dynamicznie zmieniać treść stron, które przeglądasz. Wyobraź sobie, że na stronie giełdy kryptowalutowej, tuż przed dokonaniem przelewu, rozszerzenie podmienia adres portfela odbiorcy na adres należący do hakera. Podobnie może zmieniać linki w wiadomościach e-mail lub na stronach bankowości internetowej.
Fałszowanie żądań w imieniu użytkownika. Rozszerzenie może wykonywać działania w twoim imieniu bez twojej wiedzy. Przykładem jest automatyczne polubienie filmów na YouTube, śledzenie profili w mediach społecznościowych czy dodawanie produktów do koszyka w sklepach internetowych. Takie działania służą do manipulowania metrykami zaangażowania lub oszustw afiliacyjnych.
Ataki na łańcuch dostaw
Jednym z najbardziej wyrafinowanych i niebezpiecznych zagrożeń są ataki na łańcuch dostaw (supply chain). W tym scenariuszu hakerzy nie tworzą nowego, złośliwego rozszerzenia od zera. Zamiast tego, przejmują kontrolę nad popularną, legalną i zaufaną aplikacją.
Mechanizm ataku jest prosty, ale niezwykle skuteczny. Atakujący włamują się na konto dewelopera lub wykradają jego klucze API, które służą do publikacji aktualizacji w oficjalnym sklepie, np. Chrome Web Store. Następnie, wykorzystując te poświadczenia, publikują nową wersję rozszerzenia, do której wstrzyknęli złośliwy kod.
Skuteczność tej metody opiera się na dwóch filarach: zaufaniu użytkowników do aplikacji, której używają od dawna, oraz mechanizmie automatycznych aktualizacji w przeglądarkach. Użytkownicy nieświadomie pobierają zainfekowaną wersję, a przeglądarka instaluje ją bez dodatkowych pytań. Przykładem takiego ataku, który miał miejsce przed incydentem z Trust Wallet, była kompromitacja Cyberhaven (2024), gdzie celem stały się konta deweloperów, aby dystrybuować złośliwe oprogramowanie. Ta technika stanowiła bezpośrednie preludium do tego, co wydarzyło się w grudniu 2025 roku.
Szczegółowa analiza ataku na Trust Wallet
W dniach 24-26 grudnia 2025 roku, w okresie, gdy uwaga wielu osób była skupiona na świętowaniu, w społeczności kryptowalutowej zawrzało. Użytkownicy Trust Wallet, jednego z najpopularniejszych portfeli na świecie, zaczęli masowo zgłaszać nagłe i niewyjaśnione zniknięcie środków ze swoich kont.
Skala ataku szybko stała się jasna. W ciągu zaledwie kilkudziesięciu godzin skradziono około 8,5 miliona USD z ponad 2500 portfeli. Śledztwo wykazało jednoznacznie: celem ataku było wyłącznie rozszerzenie Trust Wallet przeznaczone dla przeglądarki Google Chrome.
Fałszywe poczucie bezpieczeństwa: Cisza przed burzą
To, co czyni ten atak tak pouczającym, to fakt, że Trust Wallet nie był projektem zaniedbanym. Wręcz przeciwnie, firma proaktywnie inwestowała w bezpieczeństwo, zlecając profesjonalne testy penetracyjne renomowanym firmom. W kwietniu 2023 roku, znana firma Cure53 przeprowadziła szczegółowy audyt kodu rozszerzenia.
Jego wyniki mogłyby uśpić czujność. W raporcie końcowym audytorzy stwierdzili: "Cure53 z przyjemnością podsumowuje, że rozszerzenie przeglądarkowe Trust Wallet zawiera wydajne narzędzia bezpieczeństwa, aby zapobiec szeregowi potencjalnych problemów z bezpieczeństwem." Audyt zidentyfikował zaledwie pięć podatności, z których większość miała niską wagę, a zespół Trust Wallet aktywnie pracował nad ich naprawą.
Ten kontekst jest kluczowy. Ukazuje on, że Trust Wallet padł ofiarą nie z powodu zaniedbań w bezpieczeństwie samej aplikacji, ale w wyniku niezwykle wyrafinowanego ataku na łańcuch dostaw - najsłabsze ogniwo, które znajdowało się poza bezpośrednią kontrolą ich kodu.
Narzędzie ataku: Złośliwa wersja 2.68
To, co spotkało użytkowników Trust Wallet nie było typową "luką w zabezpieczeniach". Była to celowa, złośliwa modyfikacja kodu aplikacji, która została opublikowana jako oficjalna aktualizacja w Chrome Web Store. Wersja oznaczona numerem 2.68 stała się narzędziem w rękach hakerów.
Analizy techniczne ujawniły, jak działał złośliwy kod. Jego kluczowy element był niezwykle podstępny: uruchamiał się przy każdym odblokowaniu portfela, niezależnie od tego, czy użytkownik użył hasła, czy biometrii. Co gorsza, wbrew początkowym przypuszczeniom, nie było konieczne importowanie frazy odzyskiwania (seed phrase), aby paść ofiarą ataku. Samo odblokowanie portfela wystarczyło do kradzieży.
Aby zmaksymalizować straty, kod został zaprojektowany tak, aby iterować po wszystkich portfelach skonfigurowanych przez użytkownika w ramach funkcji multi-wallet, a nie tylko po tym aktywnie używanym.
Jak atakujący dostali się do środka
Dochodzenie wykazało, że atak na Trust Wallet był częścią szerszej kampanii supply chain o nazwie "Shai-Hulud". Była to już druga iteracja tej operacji, która nasiliła się w listopadzie 2025 roku. Atakujący nie włamali się bezpośrednio do systemów Trust Wallet, ale zastosowali bardziej wyrafinowaną, wieloetapową strategię. Sekwencja zdarzeń wyglądała następująco: najpierw złośliwy pakiet npm (biblioteka używana przez programistów) zainfekował komputer jednego z deweloperów Trust Wallet. To pozwoliło atakującym na wykradzenie jego poświadczeń z serwisu GitHub, gdzie przechowywany był kod źródłowy. Posiadanie skradzionego klucza API do Chrome Web Store dało hakerom możliwość opublikowania złośliwej wersji 2.68 bezpośrednio w oficjalnym sklepie, z pominięciem wszystkich wewnętrznych procesów weryfikacji i kontroli jakości w Trust Wallet.
Kamuflaż kradzieży danych
Metoda kradzieży fraz odzyskiwania była przykładem geniuszu kamuflażu. Wykradzione dane nie były wysyłane na serwer atakujących w oczywistym żądaniu typu "data_theft", co mogłoby natychmiast wzbudzić podejrzenia.
Zamiast tego, hakerzy sprytnie ukryli skradzione frazy odzyskiwania wewnątrz pola „errorMessage” w czymś, co wyglądało na rutynowe zdarzenie analityczne wysyłane za pomocą biblioteki PostHog. Dla każdego przypadkowego obserwatora ruchu sieciowego wyglądałoby to jak nieszkodliwy błąd aplikacji, a nie cyfrowy napad stulecia.
Dane te były wysyłane na domenę api.metrics-trustwallet[.]com. Została ona celowo zarejestrowana w taki sposób, aby do złudzenia przypominać legalną infrastrukturę analityczną Trust Wallet i uniknąć wykrycia.
Konsekwencje ataku
Firma Trust Wallet zareagowała na incydent podejmując szereg działań. Publicznie potwierdziła włamanie i wezwała użytkowników do natychmiastowej aktualizacji rozszerzenia do bezpiecznej wersji 2.69. Jednocześnie, we współpracy z Google, zablokowano złośliwą wersję w Chrome Web Store, aby zapobiec dalszym infekcjom.
Co najważniejsze, Trust Wallet uruchomił oficjalny proces składania wniosków o zwrot skradzionych środków dla wszystkich poszkodowanych użytkowników. Firma zapowiedziała również wdrożenie dodatkowych, bardziej rygorystycznych mechanizmów kontroli i monitoringu procesów wydawniczych aplikacji, aby uniemożliwić podobne incydenty w przyszłości.
Jak się chronić?
Atak na Trust Wallet dostarcza cennych lekcji dla każdego użytkownika internetu. Oto kilka praktycznych porad, które pomogą Ci zwiększyć swoje bezpieczeństwo:
- Minimalizuj liczbę rozszerzeń. Zasada jest prosta - im mniej rozszerzeń, tym mniejsza powierzchnia ataku. Regularnie przeglądaj listę zainstalowanych dodatków i bezwzględnie usuwaj te, których już nie używasz.
- Uważaj na uprawnienia. Podczas instalacji nowego rozszerzenia, przeglądarka wyświetla listę uprawnień, o które prosi. Zastanów się, czy kalkulator naprawdę potrzebuje dostępu do Twojej historii przeglądania i kamery. Nie klikaj "OK" bezmyślnie.
- Nie ignoruj aktualizacji, ale bądź czujny. Chociaż atak na Trust Wallet wykorzystał mechanizm automatycznych aktualizacji, używanie przestarzałego oprogramowania z niezałatanymi lukami jest równie ryzykowne. Kluczem jest równowaga i świadomość ryzyka, zwłaszcza w okresach wzmożonej aktywności hakerów, jak święta.
- Rozważ użycie portfela sprzętowego (hardware wallet). Jeśli przechowujesz znaczące kwoty w kryptowalutach, portfel sprzętowy jest najbezpieczniejszym rozwiązaniem. Przechowuje on Twoje klucze prywatne w trybie offline, co uniemożliwia ich kradzież przez złośliwe oprogramowanie na komputerze.
- Uważaj na wtórne ataki phishingowe. Po każdym głośnym incydencie w sieci pojawia się fala oszustów próbujących wykorzystać chaos. Uważaj na fałszywe formularze "pomocy" lub "rekompensat", które obiecują zwrot środków. Pamiętaj, że oficjalny formularz Trust Wallet nigdy nie prosił o podanie frazy odzyskiwania.
Podsumowanie
Incydent z Trust Wallet to coś więcej niż tylko kolejna kradzież kryptowalut. To brutalne przypomnienie, że w dzisiejszym świecie nawet proaktywne podejście do bezpieczeństwa aplikacji może nie wystarczyć. Pozytywny audyt bezpieczeństwa dał fałszywe poczucie pewności, podczas gdy prawdziwe zagrożenie czaiło się w łańcuchu dostaw. Ataki na ten wektor przestały być teorią - są realnym i rosnącym zagrożeniem, a zaufanie do oficjalnych kanałów dystrybucji nie może być już bezwarunkowe.
