کارشناسان امنیت سایبری متوجه شدند ۱۰۸ افزونه مخرب در فروشگاه رسمی Chrome Web Store منتشر شدهاند که در قالب یک کمپین سازمانیافته درحال سرقت اطلاعات حساس کاربران از جمله توکنهای Google OAuth2 هستند. مهاجمان از طریق این افزونهها میتوانند بدون اطلاع کاربران به دادههای آنها دسترسی پیدا کنند یا بهجای آنها دست به اقدامات مختلف بزنند. به نظر میرسد این عملیات در قالب «بدافزار بهعنوان سرویس» (MaaS) با منشأ روسی انجام میشود.
پژوهشگران شرکت امنیتی Socket اعلام کردهاند که این افزونهها تحت پنج هویت ناشر مختلف و در دستهبندیهای متنوعی منتشر شدهاند؛ برخی از آنها ابزارهایی برای استفاده در تلگرام، یوتوب و تیکتاک هستند، برخی نیز کارهای مختلفی مانند ترجمه متن انجام میدهند. این تنوع باعث شده افزونهها در نگاه اول بیخطر به نظر برسند و کاربران بیشتری را جذب کنند.
طبق گزارشها، کل کمپین هکرها به یک بکاند مرکزی متکی است که روی یک سرور VPS از Contabo میزبانی میشود. این زیرساخت شامل چندین زیردامنه میشود که هرکدام تسکهای مشخصی مانند جمعآوری اطلاعات هویتی، اجرای دستورات و حتی عملیات درآمدزایی مانند تبلیغات تقلبی را برعهده دارند.
از نظر فنی، بزرگترین خوشه این کمپین شامل ۷۸ افزونه است که با سوءاستفاده از ویژگی innerHTML، کد HTML تحت کنترل مهاجم را مستقیماً به رابط کاربری تزریق میکنند. این تکنیک میتواند برای دستکاری محتوا، اجرای اسکریپتهای مخرب و فریب کاربر به کار گرفته شود.
دومین گروه بزرگ، شامل ۵۴ افزونه، از یک API به نام «chrome.identity.getAuthToken» استفاده میکند تا اطلاعات حساسی مانند ایمیل، نام، تصویر پروفایل و شناسه حساب گوگل کاربر را جمعآوری کند. این افزونهها همچنین میتوانند توکن Google OAuth2 Bearer را به سرقت ببرند؛ این توکن کوتاهمدت به اپلیکیشنها امکان میدهد به دادههای کاربر دسترسی پیدا کنند یا از طرف او اقداماتی انجام دهند.
در میان این موارد، یک افزونه شدیدترین تهدید را متوجه امنیت کاربر میکند. این افزونه هر ۱۵ ثانیه نشستهای Telegram Web را سرقت و به سرور مهاجم ارسال میکند. علاوهبراین، پژوهشگران سه افزونه را شناسایی کردهاند که تبلیغاتی را در یوتوب و تیکتاک تزریق میکنند.
با وجود اطلاعرسانی Socket به گوگل، این شرکت هشدار داده که در زمان انتشار گزارش تمامی این افزونههای مخرب همچنان در Chrome Web Store در دسترس بودهاند.
