Исследователи предупредили, что браузерное расширение SearchBlox, установленное более 200 000 раз, содержит бэкдор, который может похищать учетные данные от Roblox, а также средства жертв на Rolimons (торговой платформе Roblox).
Издание Bleeping Computer сообщает, что код бэкдора явно был внедрен в расширение преднамеренно (разработчиком), либо появился там после компрометации. По информации журналистов, оба расширения SearchBlox в Chrome Web Store скомпрометированы (их идентификаторы: blddohgncmehcepnokognejaaahehncd и ccjalhebkdogpobnbdhfpincfeohonni). В рекламе оба расширения обещали, что помогут «найти нужного игрока на серверах Roblox с молниеносной скоростью», и оба содержат бэкдор.
Подозрения относительно SearchBlox возникли у пользователей ранее на этой неделе. Аккаунт RTC, публикующий неофициальные новости Roblox, писал в Twitter, что SearchBlox скомпрометирован и заражен бэкдором, настоятельно рекомендуя пользователям удалить его и изменить пароли.
Журналисты решили проверить эту информацию, загрузили обе версии SearchBlox и действительно обнаружили бэкдор в файлах content.js и button.js. По данным издания, вредоносный код передает учтенные данные пользователей Roblox по адресу releasethen[.]site. К тому же вредоносный код активируется при просмотре профиля игрока на Rolimons.com, торговой платформе Roblox.
По информации издания, это не первая атака SearchBlox на пользователей: в октябре текущего года Google уже удалил другую версию расширения из Chrome Web Store, где она распространялась с 28 июня 2022 года.
Пока неясно, был ли бэкдор внедрен в расширение в результате компрометации, или его намеренно добавил сам разработчик. У участников сообщества Roblox есть теория (1, 2, 3, 4), что разработчиком расширений выступает пользователь Unstoppablelucent, чей инвентарь за одну ночь заметно увеличился, и при этом пользователь Rolimons ccfont был удален из-за подозрительных сделок.
Издание предупреждает, что всем пользователям SearchBlox нужно немедленно удалить малварь, очистить cookie и изменить пароли для Roblox, Rolimons и других сайтов, на которые они могли входить, пока использовалось расширение.
Bleeping Computer уведомил инженеров Google об этой находке, и в настоящее время представитель компании уже подтвердил, что расширения удалены из Chrome Web Store и будут автоматически удалены из систем, где установлены.
