50 万人の VKontakte ユーザーが、静かにアカウントを乗っ取られました。設定は 30 日ごとにリセットされました。本来選ばなかったグループに自動購読されました。すべては、単純な VK カスタマイズツールに見えた Chrome 拡張機能を通じてです。
VKontakte (VK)、ロシア最大のソーシャルネットワーク(6億5千万人以上のユーザー)を狙った高度なマルウェアキャンペーンを発見しました。Yandex 広告コードの簡単な検索から始まったのが、50 万以上の累計インストール数を持つ 5 つの悪意のある Chrome 拡張機能のネットワークを明らかにするまでに至りました。
これは単なるアドウェアや単純なタイポスクワットではありません。これは能動的なアカウント操作です – 以下を行うマルウェアです:
- 攻撃者の VK グループに自動購読(各セッションで 75% の確率)
- 30 日ごとにアカウント設定をリセットしてユーザー設定を上書き
- CSRF トークンを操作して VK のセキュリティ保護を回避
- 寄付ステータスを追跡して機能をゲートし、被害者を金銭化
- マルチステージコード注入を通じて永続的な制御を維持
攻撃者は?GitHub ユーザー名 2vk で活動する単一の脅威アクター。VK 自体のソーシャルネットワークを使用して悪意のあるペイロードを配布し、強制購読を通じてフォロワーベースを構築しています。
これが VK Styles マルウェアネットワークを追跡した方法と、ブラウザ拡張機能のセキュリティにとって何を意味するのかについての物語です。
発見:Yandex トレイルを追跡する
このトレイルは Yandex で始まったのではなく、私たちのリスク エンジンで始まりました。Yandex 広告スクリプトをユーザーが開いたすべてのページに注入していた Chrome 拡張機能にフラグを付けました。
そこから、同じ Yandex 表示フレームワークを使用している他の拡張機能を検索しました。検索はVK Stylesへと導きました – 単純な VK カスタマイズツールであると主張する40 万インストールの Chrome 拡張機能です。しかし、そのコードに埋め込まれていたのは、検出を回避するために動的に計算された Yandex メトリック ID でした。
'R-A-' + 843079 * 2 // 評価: R-A-1686158
なぜ計算するのか?静的分析ツールとセキュリティスキャナーは正確な文字列を検索するためです。実行時に ID を計算することで、マルウェアは単純なパターンマッチングを回避します。
しかし、この計算は私たちに疑いを生じさせました。そのため、拡張機能コードをさらに深掘りしました。
Yandex メトリックは単なる表面に過ぎないことがわかりました。本当のマルウェアはマルチステージで、VK 自体のソーシャルネットワークをインフラストラクチャとして使用していました。
ステージ 1: すべてを変えた 2 行
拡張機能自体は無害に見えます。「VK Styles」はカスタムテーマ、追加機能、よりクリーンなインターフェースで VK エクスペリエンスを強化することを約束しています。数千のポジティブレビューを誇り、定期的に更新されます – Chrome ウェブストアのリストで即座に赤いフラグが立つものは何もありません。
しかし、VK Styles コードベースに対して私たちのエージェントを実行したとき、異なる場所に埋め込まれた 2 行を見つけました。これがすべてを変えました。
基本的には
これにより、E に渡されたあらゆる文字列が実行される可能性があります。そこから、エージェントは E を呼び出していたコンポーネントをトレースし、VK プロファイル vk.com/m0nda のメタデータから URL データを取得していたコードを発見しました。拡張機能はそのプロファイルからコードをダウンロードし、ローカルで実行します。
これは通常の VK アカウントではありません – 攻撃者の C2 インフラストラクチャとして機能し、個人的なソーシャルメディアプロファイルに偽装しています。
メタデータペイロード
VK プロファイルの HTML メタデータタグに隠された次のステージがあります:
<meta name="description" content="4000 :: G2vk.github.io/-/ V1.0.250.69 Yan.yandex.ru/system/context.js Ayastatic.net/partner-code-bundles/ :">
一見したところ?ナンセンスです。しかし、それをデコードすると:
G (GitHub): https://2vk.github.io/-/
Y (Yandex): https://an.yandex.ru/system/context.js
A (広告バンドル): https://yastatic.net/partner-code-bundles/
V (バージョン): 1.0.250.69
攻撃者は VK のメタタグをペイロード URL の隠し場所として使用しています。
これが巧妙な理由は何か?
- 拡張機能コードにハードコードされた URL がない – 検出とブロックが難しい
- 動的更新 – 攻撃者は VK プロファイルを編集してペイロードを変更できる
- 正当なインフラストラクチャ – VK.com 自体が C2 調整を提供する
- 疑わしい外部ドメインがない – すべてが通常の VK トラフィックのように見える
拡張機能は VK プロファイルをフェッチしてメタタグをパースし、エンコードされた URL を抽出し、GitHub から次のステージをダウンロードします。
ステージ 2: GitHub ペイロード
GitHub アカウント 2vk は実際のマルウェアをホストしています: https://github.com/2vk
リポジトリ名は「-」です。ただのハイフンです。
リポジトリには単に C という名前のファイルが含まれています – 無害で、検索不可能で、意図的に曖昧です。内部は難読化されたJavaScriptで、被害者が訪問するすべてのページに注入されます。
VK ページ。
フローの概要:
このファイルのすべての 17 コミットを分析しました。2025 年 6 月から 2026 年 1 月に及びます。私たちが発見したのは、時間とともに進化し、機能を追加し、技術を改良し、更新するたびに積極的になるマルウェア操作でした。
コード進化タイムライン
2025 年 6 月 22 日(コミット 9c04efc)- 初期バージョン
- CSRF クッキー操作が実装された
- 基本的な VK API ラッパー関数
- コアインフラストラクチャが確立された
2025 年 12 月 23 日(コミット ba0125b)- 重大な悪意あるアップデート
- 自動購読機能が追加(75% の確率)
- 30 日設定リセットが導入
- 強制設定上書き
2026 年 1 月 13 日(コミット 8f94054)- 金銭化アップグレード
- HTML スクレイピングから直接 API 呼び出しに変更
- VK Donut API を通じた寄付追跡
- 支払いステータスに基づいた機能ゲーティング
2026 年 1 月(コミット c9d1e96)- ステルス改善
- 100 行以上の IntersectionObserver コードを削除
- 検出サーフェスを減らすようにシンプル化
- 継続的なバージョンバンプとセレクタ更新
各コミットは意図的な改良を示しています。これは稚拙なマルウェアではありません – バージョン管理、テスト、反復的な改善を備えた保守されているソフトウェアプロジェクトです。
静かな乗っ取り:このマルウェアが実際に行うこと
完全に展開されると、マルウェアは 5 つのカテゴリの悪意のあるアクションを実行します。それぞれを見てみましょう。
自動購読:軍隊を構築
コード:
翻訳:VK にアクセスするたびに、マルウェアが VK グループ -168874636 に自動購読させる 75% の確率(4 つのランダムな結果のうち 3 つ)があります。
VK グループ 168874636 とは何か?
それは攻撃者自身のグループです:https://vk.com/club168874636。
これはVK Styles(https://vk.com/2style)にリダイレクトされます – マルウェアの「公式コミュニティ」はユーザーサポートグループに偽装しています。140 万のフォロワーを持ち、VK Styles のような人気のある人物です。
これが素晴らしい理由は何か?
- ウイルス的成長 – すべての被害者が購読者になり、グループの正当性が高まります
- 社会的証拠 – 「140 万人のメンバーが間違っているはずがない!」
- 無料広告 – 被害者の友達は彼らが参加しているのを見て、信頼が追加されます
- 金銭化 – より多くのフォロワー = より多くの影響力 = より多くの被害者
- 永続性 – 購読を解除しても、次の VK 訪問で再購読される 75% の確率があります
攻撃者はマルウェア配布を自己強化サイクルに変えました。被害者自身がより多くの被害者の広告をしています。
30 日リセット:永続的なアカウント制御
コード:
翻訳:30 日ごと(2592e6 ミリ秒 = 30 日)、マルウェアは:
- VK フィードのソートをリセットしてアルゴリズム化ではなく「最新」に変更
- メッセージ バブル テーマを変更してテーマ 0 に変更
- 設定したカスタム設定を上書き
- 最後のリセットタイムスタンプを追跡して毎月発生するようにする
CSRF トークン操作:VK のセキュリティを破る
コード:
翻訳:マルウェアは VK の CSRF 保護クッキー remixsec_redir を読み取り、操作できます。
CSRF トークンとは?
クロスサイトリクエストフォージェリ(CSRF)トークンは、アカウントへの不正なアクションを防ぐセキュリティメカニズムです。VK で機密アクション(設定の変更やポスト投稿など)を実行すると、VK はこのトークンをチェックして、要求が実際にはあなたからのものであり、悪意のあるサイトからではないことを確認します。
このクッキーを操作することで、マルウェアは潜在的に:
- API 呼び出し時に CSRF 保護をバイパス
- 通常はブロックされるアクションを実行
- リクエストを VK のセキュリティシステムに正当なものとして見えるようにする
これは VK のセキュリティインフラストラクチャへの直接的な攻撃です。
ネットワーク:5 つの拡張機能、1 つの脅威アクター
Yandex メトリック ID R-A-1686158 を検索すると、同じ脅威アクターによって制御され、同じインフラストラクチャを使用しているすべての拡張機能のネットワークが明らかになりました:
| 拡張機能 ID | ダウンロード | ステータス | Yandex メトリック |
|---|---|---|---|
| ceibjdigmfbbgcpkkdpmjokkokklodmc | 40 万 | 最近削除 | R-A-1686158 |
| mflibpdjoodmoppignjhciadahapkoch | 8 万 | アクティブ | R-A-1686158 |
| lgakkahjfibfgmacigibnhcgepajgfdb | 2 万 | アクティブ | R-A-1686158 |
| bndkfmmbidllaiccmpnbdonijmicaafn | 2,000 | アクティブ | R-A-1686158 |
| pcdgkgbadeggbnodegejccjffnoakcoh | 2,000 | 削除 | R-A-1686158 |
- 確認された犠牲者の総数:502,000
- 1 つの拡張機能は既に Google によって 2024 年に削除されました。Web ストアのポリシー違反のため – この キャンペーンが以前に検出されたが、脅威アクターが単に新しい拡張機能 ID に転向し、操作を続けたというを示す証拠。
- 最も人気のある拡張機能
VK Styles – Themes for vk.comは 2 月 6 日にマーケットプレイスから削除されました。
合計:502,000 人以上の確認された被害者
VK グループメンバーシップ:攻撃者の VK Styles グループは強制購読を通じて有機的に成長し、自己維持感染ベクトルを作成しています。
地理的分布:主にロシア語を話すユーザー(VK のコアデモグラフィック)、および東ヨーロッパ、中央アジア、世界中のロシア系ディアスポラコミュニティ全体のユーザー。
期間:キャンペーンは少なくとも2025 年 6 月以来アクティブで、2026 年 1 月を通じて継続的に更新されます – 7 か月以上の活発な操作。
今何が起きているか
毎日、何千もの VK ユーザー:
- 知らないうちに攻撃者のグループに購読されている
- アカウント設定がリセットされている
- CSRF トークンが操作されている
- 寄付追跡システムを通じて金銭化されている
- マルウェアの配布ノードとして機能している
そして、拡張機能は自動的に更新されるため、攻撃者はユーザーの操作を必要としなく、すべての 500,000 人以上の被害者に新しい悪意のあるコードを瞬時にプッシュできます。
最後の考え
この研究はKoiのチームによって実施されました。ソフトウェアサプライチェーンに隠れている脅威を明らかにするという当社のコミットメントが推進しています。
VK Styles キャンペーンは、ブラウザ拡張機能マルウェアにおけるいくつかの新興トレンドを示しています:
1. C2 インフラストラクチャとしてのソーシャルネットワーク VK プロファイル、メタタグ、正当なソーシャルプラットフォームを使用してマルウェアを調整することは、素晴らしく怖いです。それは無料で、信頼でき、ブロックするのは難しいです。
2. 強制アクションを通じた自己伝播 被害者を攻撃者が制御するグループに自動購読することで、それ自体を食い物にするウイルス配布メカニズムが作成されます。
3. サブスクリプションベースのマルウェアビジネスモデル 感染を活発に保ちながら「プレミアム機能」を通じてマルウェアを金銭化することは、ランサムウェア戦術の新しい進化です。
4. 定期的なリセットを通じた永続性 30 日リセットサイクルは、拡張機能を削除しない限り、被害者はマルウェアの制御から完全に逃れることができないようにします。
5. マルチステージ、動的ペイロード 外部ソース(GitHub、VK プロファイル)からペイロードをフェッチすることで、攻撃者は拡張機能コード自体に触れることなくマルウェアを更新できます。
ブラウザ拡張機能は現代のセキュリティにおいて最も危険な攻撃ベクトルの 1 つになっています:
- 高い特権で実行される
- ユーザーの同意なしに自動更新される
- 監視と監査が難しい
- マーケットプレイスのセキュリティ審査が限定的
- ユーザーは暗黙的に信頼している
これはKoiを構築した理由です。当社のプラットフォームは、環境に流入するすべてのソフトウェアを検出、評価、および管理します – 従来のセキュリティ ツールが完全に見落とすブラウザ拡張機能を含む。
Fortune 50 企業と世界最大のテクノロジー企業の一部によって信頼されている Koi は、セキュリティ チームが開発者と従業員が実際に使用するソフトウェアの可視性を得るのに役立ちます。
デモを予約して、Koi がブラウザ拡張機能、npm パッケージ、VS Code 拡張機能、およびマーケットプレイスエコシステム全体に隠れている脅威から組織を保護する方法を確認してください。
マルウェアが完全に正当に見える拡張機能を通じて 50 万人のユーザーを乗っ取ることができる場合、ソフトウェアが主張するものだけでなく、実際に何をしているかを監視するツールが必要です。
安全を保ってください。
IOC
ceibjdigmfbbgcpkkdpmjokkokklodmc(40 万インストール)mflibpdjoodmoppignjhciadahapkoch(8 万インストール)lgakkahjfibfgmacigibnhcgepajgfdb(2 万インストール)bndkfmmbidllaiccmpnbdonijmicaafn(2,000 インストール)pcdgkgbadeggbnodegejccjffnoakcoh(2,000 インストール)
