Коротко: почти все расширения-рассыльщики WhatsApp — это один и тот же класс инструмента, и в октябре 2025 исследователи Socket поймали 131 такой клон на массовом нарушении правил Chrome Web Store. Он бьёт сразу по двум вещам: по номеру (рассылка одного текста всем — это подпись спама) и по сессии (расширение крутит свой код внутри твоего залогиненного WhatsApp Web). Если тебе правда надо разослать по своей базе, рабочих путей три, и какой лучше — зависит от того, есть ли у контактов согласие. Ниже: чек-лист на минуту, чтобы проверить любое расширение, и разбор этих трёх путей.
- Для кого: для тех, кто гуглит «расширение для рассылки WhatsApp» под свою базу и хочет разослать, не спалив номер.
- Что внутри: как за минуту отличить опасное расширение от рабочего пути, и чем слать вместо него.
- Обновлено: 2026-07-05.
Ты гуглишь сендер — вот что не так со всем классом
Забей «расширение для рассылки whatsapp» — и получишь десятки вариантов: Rocket Sender, Pro Sender, WA Sender, добрая половина с обещанием «бесплатно» и «номер не блокируется». Почти все они под капотом делают одно и то же: открывают WhatsApp Web в браузере и вставляют в него JavaScript, который печатает, отправляет, планирует, иногда собирает контакты быстрее человека. Именно это архитектурное решение и делает их опасными. А «оно же лежит в Chrome Web Store» — не та гарантия, за которую его принимают на грей-рынке: магазин проверяет соответствие правилам, а не безопасность кода. Листинг — это ещё не аудит.
Отсюда практический вывод для того, кто выбирает, чем слать: смотри не на цену и не на «без блокировок» в заголовке, а на то, чей это код и к чему он получает доступ. Бан прилетает на твой номер, вставленный код крутится в твоей сессии, а автора этого кода ты часто даже не можешь назвать. Дальше — чек-лист, который это ловит, и что взять вместо расширения.
Что именно нашёл Socket в 2025
В октябре 2025 команда threat-research из Socket опубликовала разбор расширений-рассыльщиков WhatsApp в Chrome Web Store. В том же месяце об этом написали Malwarebytes и The Hacker News. Атрибуция тут важна, поэтому держим её ровно: нашёл — Socket; растиражировала — профильная пресса.
Что выяснилось:
- 131 расширение оказались одним инструментом. Все 131 делят общую кодовую базу, одинаковые паттерны дизайна и общую инфраструктуру: это переименованные клоны, выложенные под разными названиями. Socket называет их «не классической малварью», но работающей как «высокорисковая спам-автоматизация, нарушающая правила площадки».
- Они работают, вставляя код в
web.whatsapp.com. Расширения запускают свой JavaScript рядом со скриптами самого WhatsApp и автоматизируют массовую отправку, планирование и сбор контактов в объёме, который встроенные анти-спам-механизмы WhatsApp как раз и должны ловить. - Клоны объясняются франшизной моделью. Socket вывел кластер на бразильского оператора DBX Tecnologia с white-label-программой для реселлеров: заплати около R$12 000 (≈ $2 180), переименуй расширение и продавай как своё. Поэтому и получилось 131 почти одинаковых листинга вместо одного, каждый принадлежит реселлеру. По кластеру Socket насчитал порядка 20 000 активных пользователей; у самого крупного клона было около 10 000.
- Это нарушение правил, а не только этикета. Публиковать много расширений с одинаковой функцией запрещает политика Chrome Web Store о спаме и злоупотреблениях, а такая автоматизация WhatsApp нарушает его условия использования.
У всей категории есть узнаваемый шаблон: один инструмент, много лиц, анонимный оператор, код в твоей сессии. Удалённые 131 расширение — это симптом; сам шаблон повторяется снова и снова, и его легко проверить самому.
Две опасности в одной установке
Обычно предупреждения про сендеры заканчиваются на «забанят номер». Это правда, но это только половина.
Опасность первая: номер. Быстрая рассылка одного и того же текста по базе с относительно свежего номера — это учебниковая подпись спама, и ровно её защита платформы ловит в первую очередь. Внутри расширения контрмеры для этого нет, потому что вся его ценность в скорости, а скорость ровно то, что убивает номер.
Опасность вторая: сессия. Её как раз и упускает рамка «забанят или нет». Чтобы делать свою работу, расширение запускает собственный код внутри твоей залогиненной вкладки WhatsApp Web. Именно поэтому оговорка Socket про приватность так важна: код, вставленный в твою сессию, в принципе может видеть, что у тебя на экране, и трогать твоё состояние логина. Злого умысла даже не нужно предполагать, чтобы почувствовать дискомфорт: ты даёшь неустановленному white-label-реселлеру плацдарм в живом WhatsApp. «Не классическая малварь» — это невысокая планка.
Из-за второй опасности чек-лист ниже взвешивает кто это сделал и к чему оно имеет доступ, а не только забанят ли меня.
Чек-лист из 5 флагов (скопируй, проверь за 60 секунд)
Открой страницу расширения в Chrome Web Store и его разрешения (Chrome → Управление расширениями → расширение → Подробности → Разрешения) и посчитай флаги. Один флаг — это уже реальный риск. Три и больше означают, что перед тобой шаблон тех самых 131.
Один флаг — уже реальный риск; три и больше — это шаблон тех самых 131 клонов.
| # | Красный флаг | Как проверить | Твоё расширение |
|---|---|---|---|
| 1 | Может «читать и изменять данные» на web.whatsapp.com (или на всех сайтах) | Подробности → Разрешения | ▢ |
| 2 | Работает через управление / инъекцию в WhatsApp Web | В его же описании: «открывает WhatsApp Web», «внедряет», «автоматизирует отправку» | ▢ |
| 3 | Есть почти одинаковые клоны под другими именами | Поищи в магазине те же скриншоты / список функций | ▢ |
| 4 | Нет называемого разработчика или продаётся как white-label / «стань реселлером» | Поле разработчика, сайт вендора | ▢ |
| 5 | Обещает, что «не забанят», «безлимит» или «не палится» | Заголовок лендинга | ▢ |
Флаги 4 и 5 — самые быстрые. У инструмента, который продают как франшизу, нет ответственного владельца. А продукт, который в заголовке обещает, что номер «не забанят», продаёт иммунитет, которого не существует (почему это миф). Реально на риск влияют темп и персонализация, а бластер устроен так, чтобы пропустить и то, и другое.
Три реальных способа разослать по своей базе
Если тебе действительно нужно написать по базе, которая у тебя есть, есть три рабочих пути, и они не равнозначны.
| Расширение-сендер | Официальный WhatsApp Business API | Свой номер с автоматизацией | |
|---|---|---|---|
| На каком аккаунте | Твой номер через вкладку браузера | Отдельный аккаунт WABA | Твой обычный номер (linked-device) |
| Риск бана | Высокий (тот самый шаблон) | Самый низкий, санкционирован Meta | Снижен, но не убран: прогрев + лимиты |
| Сообщение | Один текст всем | Заранее одобренные шаблоны, нужен opt-in | AI пишет разное под каждого |
| Код в твоей сессии | Да, вставленный JS | Нет | Нет, серверная сессия |
| Настройка | Секунды | Аппрув шаблонов + сбор opt-in | Подключение и 2–3 недели прогрева |
| Кому реально подходит | Никому, проходи мимо | Базы с согласием, уведомления в объёме | Своя база, живые двусторонние диалоги |
Посмотри на строку про риск бана прямо: официальный API её выигрывает без вариантов. Если для тебя приоритет это минимально возможный шанс потерять номер, и ты готов жить с аппрувом шаблонов и opt-in, то API правильный инструмент, а остальные пути из этой статьи не для тебя. Неофициальный путь «свой номер», тот, что запускает iSales, меняет часть этой безопасности на твой реальный номер, живые диалоги и разное сообщение под каждый контакт. Он снижает риск бана прогревом и дневными лимитами, но не убирает его, и требует 2–3 недели настройки, которых у API нет. Это реальная цена, и покупатель API прав, что её учитывает.
Единственная колонка без внятного «кому подходит» это расширение. Сколько бы оно ни экономило на настройке, тратит оно это на твоём номере и твоей сессии.
Когда автоматизировать вообще не нужно
Пропусти все три пути, если это про тебя: база маленькая, полностью с согласием, и ты и так почти всегда у телефона. Если ты пишешь только тем, кто написал первым, то и расширение, и API, и агент избыточны, просто отвечай. А если нужны надёжные односторонние уведомления людям с согласием (статус заказа, напоминание о записи), ответ это официальный API, а не обходной путь. Вопрос автоматизации окупается только тогда, когда рассылка по своей базе идёт в объёме, за которым не поспевают пальцы. И даже там выбранный инструмент важнее самого факта выбора.
Частые вопросы
Листинг в Chrome Web Store значит, что расширение безопасно? Нет. Магазин проверяет соответствие правилам, а не безопасность кода. Те 131 спам-расширение, что нашёл Socket, лежали в магазине, нарушая его же политику о спаме.
Могут ли забанить просто за установленное расширение? Риск бана идёт от поведения при отправке (массово, одинаково, быстро), а не от самой установки. Но именно установка включает такое поведение и кладёт код в твою сессию, так что удалить его будет безопасным вариантом по умолчанию, если ты им не пользуешься активно и аккуратно.
Есть ли действительно безопасное расширение-рассыльщик? Прогони кандидата по чек-листу из 5 флагов выше. Если оно инъектит в WhatsApp Web, оно один из клонов или обещает, что «не забанят», считай, что это шаблон, задокументированный Socket. Для любого реального объёма официальный API или неофициальный linked-device с прогревом и лимитами будут опорой надёжнее браузерного плагина.
Чем это отличается от официального WhatsApp Business API? API санкционирован Meta, даёт самый низкий риск бана и рассчитан на шаблонные сообщения по согласию. Он работает с номером, зарегистрированным на аккаунт WhatsApp Business (WABA), который нельзя одновременно держать в обычном приложении WhatsApp, и жёсток для живых диалогов. Смотри таблицу выше и большой гайд про автоматизацию своего номера, там весь размен целиком.
Источники и что почитать
- Socket Threat Research Team, «131 Spamware Extensions Targeting WhatsApp Flood Chrome Web Store», октябрь 2025 (первичное исследование).
- Malwarebytes, «Over 100 Chrome extensions break WhatsApp's anti-spam rules», 22 октября 2025 (репортаж по находке Socket плюс совет проверять разрешения).
- The Hacker News, «131 Chrome Extensions Caught Hijacking WhatsApp Web for Massive Spam Campaign», октябрь 2025.
- Про безопасные пути: наш полный гайд по автоматизации WhatsApp на своём номере и почему рассылка «без бана» это миф.
Хочешь на своём номере, с прогревом, дневными лимитами и разным AI-сообщением под каждый контакт, и без кода в браузерной сессии? Так и работает iSales, из того же Telegram, что у тебя уже есть. Оплата за действия, старт бесплатно: Подключить WhatsApp-агента →



