Több mint száz rosszindulatú böngészőbővítményt juttathatott be egyetlen támadó a Google Chrome hivatalos webáruházába - derült ki biztonsági kutatók vizsgálatából. A Socket szakértői összesen 108 kiterjesztést azonosítottak, amelyek öt fő kategóriába sorolhatók, köztük Telegram-oldalsáv kliensek, szerencsejáték-alkalmazások, YouTube- és TikTok-kiegészítők, fordítóeszközök, valamint különféle böngészősegéd-programok. Bár ezek látszólag megfelelően működtek, a háttérben kártékony tevékenységeket végeztek.
A kutatás szerint a bővítmények jelentős része érzékeny adatokat gyűjtött. 54 közülük e-mail címeket, neveket, profilképeket és Google-fiókazonosítókat szivárogtatott ki, míg mások Google OAuth2 hitelesítési tokeneket loptak el. Egy 78 elemből álló csoport a felhasználói felületbe injektált támadó által vezérelt HTML-kódot, 45 bővítmény pedig hátsó kapuként működött, külső szerverekről fogadva parancsokat és tetszőleges weboldalakat megnyitva. Egyes kiterjesztések emellett biztonsági fejléceket távolítottak el, illetve reklámokat injektáltak a YouTube és TikTok felületein.
A legveszélyesebbnek egy olyan bővítmény bizonyult, amely 15 másodpercenként lopta el a Telegram Web munkameneteit, hozzáférve a helyi tárolóban lévő adatokhoz és a session tokenekhez. Bár a kiterjesztéseket öt különböző fejlesztői fiókból tették közzé, mind ugyanahhoz a vezérlőszerverhez kapcsolódtak, ami egyetlen támadóra utal. A kódban talált megjegyzések alapján a szakértők egy orosz hátterű "malware-as-a-service" műveletet valószínűsítenek, konkrét elkövetőt azonban nem tudtak azonosítani. Egyes források szerint a bővítményeket már legalább 20 ezer alkalommal telepítették, és bár a Socket kérte eltávolításukat, azok továbbra is elérhetők - ezért a szakértők azonnali eltávolításukat javasolják. A teljes listát megtaláljátok ennek a jelentésnek az aljára görgetve.
