Des dizaines d'extensions Chrome piratées, plus de 2,6 millions d'utilisateurs exposés au vol de données

Au moins 35 extensions populaires du navigateur Chrome ont été compromises lors d'une faille de sécurité majeure, exposant plus de 2,6 millions d'utilisateurs à un vol potentiel de données et à la récupération d'identifiants. L'attaque ciblait les développeurs d'extensions avec une campagne de phishing, permettant aux pirates d'injecter du code malveillant dans des extensions légitimes, transformant ainsi des outils de confiance en menaces de vol de données.

Comment l'attaque s'est produite

La faille a commencé par un e-mail de phishing se faisant passer pour le support aux développeurs du Google Chrome Web Store. L'e-mail affirmait à tort que les extensions ciblées risquaient d'être supprimées pour non-respect des règles et exhortait les développeurs à suivre un lien pour « résoudre le problème ». Ce lien accordait des autorisations à une application OAuth malveillante appelée « Extension de politique de confidentialité », donnant ainsi aux attaquants l'accès aux comptes des développeurs.

Une fois l'accès obtenu, un code malveillant a été téléchargé dans les extensions concernées. Ce code :

  • Des cookies et des jetons d'accès utilisateur ont été volés .
  • Communiqué avec les serveurs de commande et de contrôle (C&C) pour télécharger des instructions supplémentaires.
  • Données utilisateur exfiltrées pour une exploitation ultérieure.

L'attaque a été révélée lorsque l'entreprise de cybersécurité Cyberhaven a révélé qu'un de ses employés avait été ciblé le 24 décembre. L'extension de navigateur de l'entreprise a été rapidement exploitée, mais cet incident n'était que la pointe de l'iceberg.

Liste complète des extensions compromises

À mesure que les enquêteurs creusaient plus profondément, ils ont identifié les extensions Chrome compromises suivantes :

  1. Assistant IA - ChatGPT et Gemini pour Chrome
  2. Extension de chat Bard AI
  3. Résumé de GPT 4 avec OpenAI
  4. Rechercher Copilot AI Assistant pour Chrome
  5. Assistant IA TinaMind
  6. IA Wayin
  7. VPNCité
  8. Internxt VPN
  9. Enregistreur vidéo Vidnoz Flex
  10. Téléchargeur de vidéos VidHelper
  11. Changeur de favoris et d'icônes
  12. Castor
  13. Voix humaine
  14. Mode lecteur
  15. Parler de perroquet
  16. Primus
  17. Tackker - Outil d'enregistrement de frappe en ligne
  18. Ami de la boutique AI
  19. Trier par le plus ancien
  20. Automatisation de la recherche de récompenses
  21. Assistant ChatGPT – Recherche intelligente
  22. Enregistreur d'historique du clavier
  23. Courriel Hunter
  24. Effets visuels pour Google Meet
  25. Earny - Jusqu'à 20 % de remise en argent
  26. Où est Cookie ?
  27. Miroir Web
  28. Application ChatGPT
  29. Salut AI
  30. Gestionnaire de mots de passe Web3
  31. Assistant YesCaptcha
  32. Commutateur de proxy Omega (V3)
  33. Inspecteur de réseau GraphQL
  34. ChatGPT pour Google Meet
  35. Résumé de GPT 4 avec OpenAI

Cette liste complète met en évidence l’étendue de la violation, affectant les extensions utilisées pour l’assistance de l’IA, les services VPN, la productivité, etc.

Des activités malveillantes découvertes

Les attaquants ont fait bien plus que voler des données. L'analyse des extensions compromises a révélé :

  • Ciblage d'identité et d'informations d'identification : un code malveillant recherchait des jetons d'accès et des informations d'identité, en particulier des comptes Facebook Ads.
  • Surveillance des clics de souris : les utilisateurs enregistrés par code cliquent sur les pages Facebook pour capturer des codes QR, contournant potentiellement l'authentification à deux facteurs (2FA) .
  • Schémas de monétisation : dans certains cas, les développeurs avaient déjà inclus des SDK de collecte de données à des fins de monétisation avant la violation.

Des extensions comme Visual Effects pour Google Meet utilisaient une bibliothèque de blocage de publicités liée à Urban VPN qui collectait furtivement les données des utilisateurs.

Depuis combien de temps cela se produit-il ?

Les éléments suggèrent que cette campagne pourrait être active depuis 2022 ou avant. Les enquêteurs ont retracé les enregistrements de domaines liés à l'activité malveillante dès 2021. Par exemple :

  • Le domaine nagofsg[.]com a été enregistré en août 2022.
  • Le domaine sclpfybn[.]com a été enregistré en juillet 2021.

Risques permanents

Même si de nombreuses extensions compromises ont été supprimées ou mises à jour sur le Chrome Web Store, le risque n'est pas totalement atténué. Si la version malveillante d'une extension est toujours active sur l'appareil d'un utilisateur, elle peut continuer à voler des données.

« Supprimer une extension du Chrome Web Store ne la supprime pas automatiquement des terminaux des utilisateurs », prévient Or Eshed, PDG de LayerX Security.

Ce que vous pouvez faire

Voici quelques mesures que vous pouvez prendre pour protéger vos données :

  1. Désinstaller les extensions concernées : examinez la liste des extensions compromises et supprimez celles que vous avez installées.
  2. Révoquer les autorisations : si vous avez accordé des autorisations à des extensions ou des applications suspectes, révoquez-les immédiatement dans les paramètres de votre compte Google.
  3. Activer la 2FA : renforcez vos comptes avec l’authentification à deux facteurs dans la mesure du possible.
  4. Mettre à jour les mots de passe : modifiez les mots de passe des comptes qui pourraient avoir été exposés.
  5. Surveiller les activités inhabituelles : surveillez les accès ou activités non autorisés sur vos comptes.

Réflexions finales

Cet incident souligne la nécessité impérieuse de faire preuve de vigilance lors de l'utilisation d'extensions de navigateur. Si les extensions sont des outils puissants, elles représentent également des risques de sécurité importants si elles sont compromises. Les développeurs et les utilisateurs doivent rester attentifs aux campagnes de phishing et examiner attentivement les autorisations et les mises à jour.

Le processus d’examen du Chrome Web Store de Google devra également s’adapter pour mieux détecter les activités malveillantes et protéger les utilisateurs contre des menaces similaires à l’avenir.

En restant informés et proactifs, les utilisateurs peuvent contribuer à minimiser les risques posés par cette attaque et les attaques futures. Ne laissez pas les outils de confiance devenir une passerelle pour les cybercriminels : prenez des mesures pour protéger vos données dès aujourd'hui.

Par Zane
January 6, 2025
Computer Security
Français
January 6, 2025
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.