Google Chrome : ces 16 extensions ont volé vos données privées, 600 000 utilisateurs touchés

Chrome a été visé par une vaste campagne de piratage avec 16 extensions vérolées qui ont exposé les données privées de 600 000 utilisateurs comme leurs identifiants. Il s’agit d’une attaque de grande ampleur qui touche même le Chrome Web Store de Google, société ultra-puissante.

On ne le répétera jamais assez : attention face aux menaces en ligne. Mais parfois, elles sont discrètes et se glissent dans des extensions officielles proposées sur le Chrome Web Store du navigateur. Les pirates ont exploité les permissions d’accès obtenues pour injecter du code malveillant dans le but de voler les cookies et jetons d’accès des utilisateurs.

Chrome a été visée par une attaque informatique sophistiquée

C’est le 24 décembre que la première victime a été repérée : la société de cybersécurité Cyberhaven. L’un des employés est tombé dans le piège du phishing, permettant aux pirates de publier une version malveillante de leur extension. Le 27 décembre, l’entreprise a dévoilé l’incident et détaillé le code malicieux qui communiquait avec un serveur de commande et de contrôle externe sur le domaine cyberhavenext[.]pro.

L’attaque est très sophistiquée. Les emails de phishing se faisaient passer pour le support du Chrome Web Store de Google avec un sentiment d’urgence, prétextant que l’extension risque d’être supprimée pour violation des politiques du programme développeur. Les victimes étaient redirigées vers une page demandant des permissions pour une application OAuth malveillante appelée Privacy Policy Extension.

Les investigations menées par Jamie Blasco, CTO de Nudge Security, ont permis d’identifier d’autres domaines qui mènent vers la même adresse IP que le serveur de commande et contrôle utilisé pour attaquer Cyberhaven. La découverte a permis d’identifier d’autres extensions compromises.

John Tuckner, fondateur de Secure Annex, explique que les attaques pourraient remonter au 5 avril 2023, voire plus tôt. Les dates d’enregistrement des domaines utilisés mènent sur cette piste : nagofsg[.]com enregistré en août 2022 et sclpfybn[.]com en juillet 2021.

L’analyse approfondie a mené John Tuckner vers différentes extensions compromises. L’expert a identifié un code malveillant commun entre l’attaque de Cyberhaven et l’extension Reader Mode. Elle contenait non seulement le code de l’attaque de Cyberhaven mais aussi un indicateur de compromission supplémentaire qui pointait vers sclpfybn[.]com.

L’extension Rewards Search Automator cachait son activité malveillante sous l’apparence d’une fonctionnalité de safe-browsing. On trouvait un code e-commerce masqué qui utilisait le domaine tnagofsg[.]com, configuration retrouvée dans l’extension Earny – Up to 20% Cash Back.

Quelles sont les 16 extensions Google Chrome compromises ?

Or Eshed, CEO de LayerX Security, souligne que la suppression des extensions du Chrome Web Store ne met pas fin à l’attaque. Les versions compromises, toujours installées chez des utilisateurs, permettent de continuer à voler les données.

Voici la liste des 16 extensions Chrome compromises par cette attaque de vaste ampleur :

• AI Assistant – ChatGPT and Gemini for Chrome
• Bard AI Chat Extension
• GPT 4 Summary with OpenAI
• Search Copilot AI Assistant for Chrome
• TinaMind AI Assistant
• Wayin AI
• VPNCity
• Internxt VPN
• Vindoz Flex Video Recorder
• VidHelper Video Downloader
• Bookmark Favicon Changer
• Castorus
• Uvoice
• Reader Mode
• Parrot Talks
• Primus
• Tackker – online keylogger tool
• AI Shop Buddy
• Sort by Oldest
• Rewards Search Automator
• ChatGPT Assistant – Smart Search
• Keyboard History Recorder
• Email Hunter
• Visual Effects for Google Meet
• Earny – Up to 20% Cash Back

Les chercheurs continuent leur enquête pour identifier le reste des extensions compromises. L’identité des pirates n’a pas été découverte et Google ne commente toujours pas publiquement cette attaque de vaste ampleur.