La boutique d'extensions officielle de Google Chrome contenait des extensions qui représentaient une menace pour les utilisateurs. Des chercheurs en cybersécurité ont constaté que plus de 100 modules complémentaires du Chrome Web Store étaient conçus pour collecter secrètement des données et exploiter le navigateur à des fins publicitaires. Pire encore, il ne s'agit pas d'incidents isolés, mais d'une campagne bien coordonnée exploitant une infrastructure partagée. La découverte a été faite par Socket, dont les analystes ont constaté que toutes les extensions suspectes communiquent avec la même source : des serveurs gérant des fonctions malveillantes. Concrètement, cela signifie que quelle que soit la catégorie à laquelle appartient une extension, elle devrait suivre le même schéma et transmettre les données collectées à un emplacement unique. Les extensions portaient des noms différents et étaient publiées par des comptes de développeurs distincts afin d'éviter d'éveiller les soupçons. Elles comprenaient des outils liés à Telegram, des jeux pour navigateur, des plugins pour des plateformes comme YouTube et TikTok, des extensions de traduction de texte et d'autres outils apparemment utiles. L'analyse a révélé que l'infrastructure utilisée lors de la campagne repose sur des serveurs privés virtuels (VPS) permettant diverses actions d'attaque, du détournement de sessions utilisateur à la collecte d'informations d'identification. Ces serveurs étaient gérés à distance et généraient des revenus publicitaires. Des traces de liens avec le modèle russe de « malware-as-a-service », où les logiciels malveillants sont fournis à des tiers sous forme de service, ont également été découvertes dans le code de certaines extensions.

Les mécanismes de fonctionnement de ces extensions varient, mais elles partagent un objectif commun : détourner les données des utilisateurs. La plupart des extensions injectent directement du code HTML modifié dans l’interface du navigateur. D’autres exploitent des fonctionnalités permettant d’accéder aux comptes Google pour obtenir des informations de base sur les utilisateurs, telles que les adresses e-mail, les noms de profil ou les identifiants de compte. L’interception des jetons OAuth2, qui permettent aux applications de fonctionner sans nécessiter de nouvelle connexion, est particulièrement dangereuse. Certaines extensions possèdent des fonctionnalités cachées qui se lancent automatiquement au démarrage du navigateur. Ces dernières agissent comme des portes dérobées, permettant l'exécution de commandes à distance ou l'ouverture de sites web arbitraires à l'insu de l'utilisateur. Dans des cas extrêmes, elles peuvent même détourner des sessions de messagerie instantanée. L'une des extensions analysées était capable de lire périodiquement les données de session de la version web de Telegram et de les envoyer à un serveur externe. De plus, il était possible de remplacer ces données par d'autres informations, permettant ainsi à l'utilisateur de se connecter à un autre compte à son insu. Malheureusement, certains plugins ont compromis la sécurité de Google Chrome et ont diffusé des publicités sur des sites web populaires. Une partie de l'infrastructure avait été préparée à l'avance, ce qui laisse supposer que la campagne a été développée par étapes.

Socket a signalé le problème à Google, mais au moment de la publication du rapport, bon nombre des extensions décrites étaient encore disponibles sur la boutique officielle. Elles seront probablement retirées progressivement. Les experts en sécurité recommandent aux utilisateurs de vérifier attentivement leurs extensions installées et de supprimer tout module complémentaire suspect. Il est également important de prêter attention aux autorisations requises par les outils installés et de limiter leur nombre au strict minimum. Le rapport complet et la liste sont disponibles ci-dessous.