Исследователи Island обнаружили тревожную архитектуру в расширении Chrome Adblock for YouTube. Как пишет The Hacker News, расширение с идентификатором cmedhionkhpnakcndndgjdbohmhepckk имеет более 10 млн установок и бейдж Featured в Chrome Web Store, но при этом содержит возможность выполнения произвольного JavaScript-кода после изменения серверной конфигурации.

Само расширение заявлено как блокировщик рекламы на YouTube и на внешних сайтах, где загружаются элементы YouTube. По данным исследователей Олега Зайцева и Шахара Грицмана, функциональность блокировки действительно работает, но в коде есть «архитектурные ингредиенты» для инъекции JavaScript на любых сайтах. Ключевой риск в том, что активация такой возможности не требует обновления расширения, повторной проверки магазином или видимого уведомления для пользователя: достаточно серверного изменения конфигурации.

Исследователи отдельно подчёркивают, что не нашли доказательств распространения вредоносной нагрузки через этот механизм. Тем не менее сама возможность опасна: в практическом сценарии расширение браузера с такими правами может читать страницы, собирать данные и действовать от имени пользователя в личных аккаунтах, рабочих приложениях, административных панелях и других чувствительных веб-сессиях. Для корпоративной среды это особенно рискованно, потому что браузерные расширения часто оказываются вне строгого контроля, хотя имеют доступ почти ко всему пользовательскому веб-трафику.

Дополнительный фактор риска — связи с другими ad-blocking расширениями, которые уже удалялись из магазина за вредоносную активность. The Hacker News приводит список связанных расширений, включая Adblock for Chrome, Adblock for You и AdBlock Suite. Adblock for YouTube существует в Chrome Web Store с 2014 года и изначально был обычным блокировщиком YouTube-рекламы, но позже менял владельца; ранние версии, по данным публикации, уже связывались с рекламными инъекциями.

Пользователям стоит проверить список установленных расширений и удалить всё, что не является критически необходимым или имеет сомнительную историю. Организациям — включить инвентаризацию браузерных расширений, разрешительные списки и мониторинг разрешений. Самый неприятный урок этой истории в том, что даже популярность, давняя история и бейдж магазина не гарантируют, что расширение не станет каналом атаки после одного удалённого переключателя.

Источник: The Hacker News, 25 июня 2026