Исследователи Socket Threat Research обнаружили координированную сеть из 152 расширений Chrome, замаскированных под «живые обои» для новой вкладки. По данным Cybersecurity News, расширения были построены на общей кодовой базе, распределены по 38 аккаунтам издателей и продвигались через темы аниме, игр, футбола и автомобилей.
Совокупная установленная база оценивается как минимум в 105 тыс. пользователей, причём это нижняя граница: Chrome Web Store округляет показатели установок. В карточках магазина расширения заявляли, что не собирают и не передают пользовательские данные.
Ключевой трюк кампании — подделка происхождения трафика. Часть расширений автоматически открывала tabplugins[.]com с параметрами utm_source=google и utm_medium=organic, чтобы визиты выглядели как обычный поисковый переход. При удалении расширения отправляли похожий на Google redirect URL, имитируя формат клика из поисковой выдачи.
Такая схема одновременно загрязняет аналитику рекламодателей и усложняет расследование источника трафика. Пользователям стоит удалить сомнительные расширения для новой вкладки, проверить разрешения браузера и оставить только дополнения от известных разработчиков.
Источник: Cybersecurity News, 14 июня 2026