Пять расширений для браузера Chrome скрытно получили доступ к профилям пользователей «ВКонтакте» — их суммарно установили около 502 тысяч раз. Наибольшее число жертв оказалось у расширения VK Styles Themes for vk.com (приблизительно 400 тысяч загрузок). Официально оно изменяло внешний вид социальной сети, однако в действительности встраивало опасный код на все страницы ВКонтакте и соединяло браузер с системой управления мошенников. Компания Google удалила это расширение из магазина Chrome Web Store 6 февраля 2026 года.
Мошенники применили нестандартный метод: в коде расширения отсутствовали адреса управляющих серверов. Вместо этого программа обращалась к странице vk.com/m0nda и извлекала из метатегов закодированные параметры. Один из них указывал на репозиторий GitHub (учётная запись 2vk), откуда загружался опасный код, остальные содержали ссылки на рекламные скрипты и номер версии модуля.
Страница во «ВКонтакте» выполняла роль центра управления, а GitHub служил местом хранения опасного кода. Обращения к обеим площадкам выглядели абсолютно безобидно.
Атака продолжалась с июня 2025 по январь 2026 года. В течение этого периода мошенники постепенно расширяли функционал: подделывали защитные токены (специальные метки, подтверждающие законность запросов), работали через программный интерфейс ВКонтакте, принудительно подписывали пользователей на группу VK Styles с вероятностью 75%. Итог: сообщество собрало более 1,4 миллиона подписчиков.
Каждые 30 дней программа обнуляла настройки, отдельный модуль проверял наличие платной подписки VK Donut — схема явно преследовала коммерческие цели. Главная опасность: программная логика загружалась с внешнего сервера, поэтому мошенники могли изменять поведение расширения без выпуска обновлений в магазине Chrome.
Представители «ВКонтакте» заявили, что данные пользователей остаются защищёнными, и рекомендовали воздержаться от установки сторонних расширений.
