25+ Chrome-tillägg hackade – 2,5 miljoner användare i riskzonen

Varför oss?

Cyberkriminella har lanserat en storskalig attack mot populära Chrome-tillägg, vilket potentiellt kan ha äventyrat data från över 2,5 miljoner användare.

Istället för att förlita sig på den vanliga taktiken att skapa falska tillägg i Chrome Web Store infekterar denna kampanj legitima applikationer med skadlig kod.

Från och med den 30 december 2024 har minst 26 allmänt använda tillägg infekterats, vilket har lett till stulna användardata, cookies och till och med rapporter om kapade multi-faktor-autentisering-sessioner.

Techopedia undersöker taktikerna bakom denna kampanj, vilka webbläsartillägg som påverkats samt viktiga tips för att skydda dig själv och din data.

Viktiga insikter om de hackade Chrome-tilläggen

  • En storskalig cyberattack riktar sig mot kända Chrome-tillägg, där minst 26 tillägg har komprometterats.
  • Intrånget utsätter potentiellt över 2,5 miljoner användare för stöld av data och inloggningsuppgifter.
  • Hackare använder sig av metoder som att utge sig för att vara Google Chrome Web Store Developer Support för att infektera legitima tillägg med skadlig kod.
  • Antalet komprometterade webbläsartillägg kan komma att öka under de närmaste dagarna.

Hackare riktar sig mot utvecklare för att sprida skadlig kod i tillägg

Bild på Chrome Web Store med kategorier som shopping, verktyg, konst och underhållning.
Chrome Web Store är en fantastisk resurs för webbläsartillägg – men vissa tillägg har komprometterats. (Skärmdump)

Det Kalifornien-baserade företaget Cyberhaven, som specialiserar sig på dataskydd, var de första att bekräfta intrånget, följt av rapporter om attacker riktade mot webbläsartillägg baserade på VPN och generativ AI.

Den 30 december hade kampanjen påverkat minst 26 webbläsartillägg som installerats av över 2,5 miljoner användare. Detta antal kan fortsätta att öka under den kommande veckan.

De okända cyberkriminella bakom kampanjen riktar sig uteslutande mot utvecklare som arbetar med Chrome Web Store.

Till skillnad från andra attacker mot webbläsartillägg, där angriparna skapar falska applikationer, infekterar denna kampanj legitima appar med skadlig kod. Målet är att stjäla användarinformation i stor skala.

Den koordinerade cyberattacken mot webbläsartillägg, som startade i mitten av december och fortfarande pågår, fungerar på ett unikt sätt.

Attacken inleds när black hat-hackare skickar phishing-mejl till företag och utvecklare av webbläsartillägg. Dessa mejl utger sig för att vara från Google Chrome Web Store Developer Support och vilseleder samt pressar utvecklare genom falska påståenden om att deras “tillägg är i omedelbar risk att tas bort” på grund av “ett brott mot utvecklarprogramspolicyn”.

Mejlet fungerar som ett lockbete för att lura utvecklare att lämna ut känslig information, som sedan används för att injicera skadlig kod i en legitim applikation för att stjäla användares cookies och åtkomsttoken.

Vilka webbläsartillägg har blivit hackade?

Cybersäkerhetsforskare från Secure Annex har listat följande webbläsartillägg som påverkade, varav vissa redan har åtgärdats i Chrome App Store:

  • VPNCity
  • Parrot Talks
  • Uvoice
  • Internxt VPN
  • Bookmark Favicon Changer
  • Castorus
  • Wayin AI
  • Search Copilot AI Assistant for Chrome
  • VidHelper – Video Downloader
  • AI Assistant – ChatGPT and Gemini for Chrome
  • Vidnoz Flex – Video recorder & Video share
  • TinaMind – Den GPT-4o-drivna AI-assistenten!
  • Bard AI chat
  • Reader Mode
  • Primus (tidigare PADO)
  • Tackker – online keylogger-verktyg
  • AI Shop Buddy
  • Sort by Oldest
  • Rewards Search Automator
  • Earny – Up to 20% Cash Back
  • ChatGPT Assistant – Smart Search
  • Keyboard History Recorder
  • Email Hunter
  • Visual Effects for Google Meet
  • Cyberhaven security extension V3
  • GraphQL Network Inspector
  • GPT 4 Summary with OpenAI
  • Vidnoz Flex – Video recorder & Video share
  • YesCaptcha assistant

Det totala antalet användare av dessa webbläsartillägg överstiger 2,5 miljoner personer. Antalet komprometterade webbläsartillägg kan komma att öka under de kommande dagarna.

Analys av den skadliga koden visar att angriparkontrollerade C2-servrar används för att stjäla data. Dessutom har ett stort antal omdirigeringar till skadliga domäner upptäckts.

Cybersäkerhetsforskare försöker fortfarande förstå större delen av den skadliga koden och dess funktionalitet, eftersom hackarna har kraftigt obfuskerat koden.

Det finns rapporter om att hotaktörer även stjäl sessionscookies i denna kampanj för att kringgå användares tvåfaktorsautentisering (2FA) på Google.

Den skadliga koden i denna kampanj omdirigerar användare till falska och skadliga webbplatser via kapade sökfrågor och omdirigeringar. Detta kan leda till identitets- och inloggningsuppgiftsstölder, aktivitetsspårning och fjärrstyrning av kommandon.

Kort sagt kan hotaktörer ta kontroll över användares webbläsare.

Avancerad webbläsarkapning

Hittills är det okänt vem som ligger bakom denna våg av cyberattacker mot utvecklare av webbläsartillägg.

Eftersom teknikerna som används av angriparna fortsätter att utvecklas, kan andra hotaktörer ansluta sig och utnyttja möjligheten.

Även om många drabbade utvecklare rapporterade e-postphishing som angreppsvektor, är det möjligt att andra infiltrationsmetoder också har använts.

Kapning av webbläsartillägg är inte ovanligt. Däremot är det sällsynt inom cybersäkerhet att se skadlig kod laddas in i legitima applikationer.

Webbläsartillägg på Chromes officiella webbplats tas nu bort för att förhindra användare från att ladda ner tillägg som fungerar som skadlig programvara (malware). Under tiden arbetar utvecklare med att implementera och distribuera säkerhetsuppdateringar.

På grund av omfattningen av denna attack ligger cybersäkerhetsteam och företag fortfarande efter i att hantera situationen. En automatiserad angreppsvektor kan vara orsaken till att denna attack sprider sig så snabbt.

Det är tydligt att hotaktörer har tillgång till en lång lista med e-postadresser tillhörande utvecklare av webbläsartillägg. Dessa adresser används sannolikt i automatiserade phishing-verktyg, vilket påskyndar spridningen av kampanjen.

Utvecklares e-postadresser listas offentligt i Chrome Web Store, men dessa används vanligtvis för att rapportera buggar. Det är oklart om hotaktören har fått tillgång till utvecklarnas information från en annan dataläcka eller ett tidigare intrång.

Tirath Ramdas, AI-utvecklare och grundare av Chamomile.ai, pratade med Techopedia om säkerheten kring webbläsartillägg.

”Det finns en uppfattning om att webbläsartillägg är plugins och därmed inte skulle kunna orsaka särskilt stor skada.

”Men i verkligheten sitter webbläsartillägg och webbtjänstarbetare i en mycket privilegierad position, där de potentiellt kan avlyssna både synligt och osynligt innehåll som är kopplat till varje webbsida som användaren besöker.”

Ramdas sa att konsumenter har blivit mer medvetna om riskerna med att ladda ner och köra programvara från internet, och att webbläsare och operativsystem som Windows och MacOS gör ett bra jobb med att skydda användare mot skadlig programvara.

“Men denna medvetenhet och detta skydd sträcker sig inte till webbläsartillägg,” sa Ramdas.

Slutsats: Hur du kan hålla dig säker

Eftersom ett betydande antal webbplatser, IP-adresser och domäner har kopplats till denna omfattande kampanj, och olika hackningstekniker också har identifierats, finns det ingen enskild säkerhetsuppdatering eller unik lösning som användare eller utvecklare kan implementera som en universallösning.

Om du är användare och har laddat ner något av de drabbade webbläsartilläggen rekommenderar vi att du avinstallerar det, rensar webbläsarens cache och installerar om tillägget om det har fått en säkerhetsuppdatering.

Dessutom kan det vara en god idé att granska tillstånd för dina webbläsartillägg. Att byta lösenord och aktivera tvåfaktorsautentisering kan vara omständligt, men det är ett nödvändigt steg för de som drabbats.

Utvecklare och företag som arbetar med webbläsartillägg står inför en svårare utmaning. De måste granska sina tillägg för att dubbelkolla deras integritet.

De måste också leta efter misstänkt aktivitet och sprida information bland andra utvecklare för att uppmärksamma risken för phishing.

Webbläsare anses vara en guldgruva för cyberkriminella, eftersom de lagrar en mängd personlig information.

Kom ihåg att endast installera webbläsartillägg som du är bekant med. Undvik tillägg med ett lågt antal användare och läs användarrecensioner innan du installerar dem i din webbläsare.

Vanliga frågor om cyberattacker mot webbläsartillägg

Hur omfattande är cyberattacken mot Chrome-webbläsartillägg?

Hur komprometterar hackare Chrome-tillägg?

Vad ska jag göra om jag har installerat ett komprometterat tillägg?

Vilken data kan hackare få åtkomst till via komprometterade tillägg?

Hur kan användare undvika att ladda ner skadliga Chrome-tillägg?

Hur kan utvecklare skydda sina webbläsartillägg?

Relaterade nyheter

Ray Fernandez
Senior Technology Journalist
Ray Fernandez
Senior teknikjournalist

Ray är en journalist med över 15 års erfarenhet som för närvarande arbetar som teknikreporter för Techopedia och TechRepublic. Hans arbeten har publicerats av bland annat Microsoft, Moonlock, Venture Beat, Forbes, Solutions Review, The Sunday Mail, The FinTech Times, Bloomberg, Horasis och The Nature Conservancy.