Globalny atak na rozszerzenia Chrome. Jest lista zainfekowanych wtyczek

Rozszerzenia przeglądarki Google Chrome stały się celem zaawansowanego ataku, który wykorzystał techniki phishingowe. Mimo że hakerzy dostali się do kont programistów, działanie złośliwego oprogramowania mogło mieć wpływ na miliony użytkowników na całym świecie, którzy pobrali wadliwe wtyczki. Poniżej znajdziecie listę zainfekowanych dodatków.

Kampania phishingowa skierowana we wtyczki Chrome

Atak na rozszerzenia Chrome wykorzystał zaawansowane metody phishingowe, które pozwoliły atakującym przejąć konta programistów i zaimplementować złośliwy kod do popularnych rozszerzeń. Proces rozpoczynał się od fałszywych e-maili imitujących wsparcie techniczne Chrome Web Store.

Atak dotknął dziesiątki rozszerzeń, w tym GraphQL Network Inspector, Proxy SwitchyOmega, YesCaptcha Assistant, Castorus oraz VidHelper. W związku z tym według portalu Register miliony użytkowników zostały narażone na kradzież danych, w tym kluczy API, plików cookie sesji, tokenów dostępu oraz danych uwierzytelniających do platform takich jak ChatGPT czy Facebook Business (ataki na konta Facebook Business pojawiły się już nieraz). Hakerzy wykorzystywali te informacje do przeprowadzania dalszych ataków, w tym kradzieży tożsamości i oszustw finansowych.

Lista zaatakowanych rozszerzeń i domen

Jeśli chodzi o zainfekowane rozszerzenia Chrome, firma zajmująca się cyberbezpieczeństwem Sekoia, która zidentyfikowała atak, podała następującą listę:

• Proxy SwitchyOmega (V3)
• GraphQL Network Inspector
• YesCaptcha assistant
• Castorus
• Uvoice
• VidHelper – Video Download Helper
• ParrotTalks
• Bookmark Favicon Changer
• Internxt VPN
• Vidnoz Flex
• Cyberhaven
• Wayin AI
• Reader Mode
• Primus (prev. PADO)
• TinaMind
• VPNCity

Nie jest to jednak lista kompletna, ponieważ zainfekowane mogły być wszystkie rozszerzenia, które opierały się na domenach występujących w dodatkach wymienionych powyżej. Dodatkowe domeny, które także mogły ulec atakowi to:

• dearflip[.]pro
• iobit[.]pro
• ultrablock[.]pro
• yujaverity[.]info
• censortracker[.]pro
• wakelet[.]ink
• pieadblock[.]pro
• locallyext[.]ink
• moonsift[.]store

Co zrobić, jeśli podejrzewasz atak?

Eksperci z Sekoia podali, że kampania trwała co najmniej od marca 2024 roku, choć możliwe, że rozpoczęła się wcześniej. Część zaatakowanych rozszerzeń została usunięta lub zaktualizowana po 26 grudnia 2024 roku, ale użytkownikom zaleca się sprawdzenie zainstalowanych rozszerzeń, ich aktualizację oraz zmianę haseł, szczególnie do usług takich jak Facebook i ChatGPT.

Użytkownik, który podejrzewa, że mógł paść ofiarą ataku na rozszerzenia przeglądarki Chrome, może otworzyć menu rozszerzeń w przeglądarce Chrome i dokładnie przejrzeć wszystkie zainstalowane wtyczki. Warto też sprawdzić, czy znajdują się tam rozszerzenia z listy naruszonych (np. Proxy SwitchyOmega, GraphQL Network Inspector), a także inne, których nie pamiętasz instalować.

Źródło: Register, Sekoia, oprac. własne. Zdjęcie otwierające: Ink Drop / Shutterstock

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Globalny atak na rozszerzenia Chrome. Jest lista zainfekowanych wtyczek pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.