Ekstensi Berbahaya di Chrome Web Store Curi Kredensial Pengguna
Dua ekstensi Chrome bernama Phantom Shuttle ditemukan menyamar sebagai plugin layanan proxy untuk membajak lalu lintas pengguna dan mencuri data sensitif. Temuan ini diungkap oleh peneliti dari platform keamanan rantai pasok Socket, yang menyebut bahwa kedua ekstensi tersebut telah aktif sejak setidaknya 2017 dan masih tersedia di Chrome Web Store.
Phantom Shuttle menargetkan pengguna di Tiongkok, termasuk pekerja perdagangan internasional yang membutuhkan pengujian konektivitas dari berbagai lokasi. Kedua ekstensi dipublikasikan oleh pengembang yang sama dan dipromosikan sebagai alat untuk mem-proxy lalu lintas serta menguji kecepatan jaringan, dengan biaya berlangganan mulai dari $1,4 hingga $13,6.
Namun di balik fungsi yang terlihat sah, ekstensi ini menyisipkan kode berbahaya yang memaksa seluruh lalu lintas web pengguna melewati server proxy milik pelaku. Kode tersebut ditempelkan pada pustaka jQuery yang sah dan menggunakan skema encoding khusus untuk menyembunyikan kredensial proxy yang ditanamkan. Melalui listener lalu lintas web, ekstensi dapat mencegat tantangan autentikasi HTTP di setiap situs yang dikunjungi.
Ekstensi ini juga secara dinamis mengubah pengaturan proxy Chrome menggunakan skrip auto‑configuration, sehingga seluruh aktivitas pengguna diarahkan melalui jaringan proxy penyerang. Dalam mode default “smarty”, lebih dari 170 domain bernilai tinggi—termasuk platform pengembang, konsol layanan cloud, media sosial, hingga situs dewasa—dialihkan melalui jaringan tersebut. Sementara itu, jaringan lokal dan domain command‑and‑control dikecualikan untuk menghindari deteksi.
Dengan bertindak sebagai man‑in‑the‑middle, Phantom Shuttle mampu menangkap berbagai data sensitif, seperti kredensial login, informasi kartu, kata sandi, data pribadi, cookie sesi, hingga token API dari permintaan HTTP.
Hingga artikel ini dibuat, Google belum memberikan komentar terkait keberadaan ekstensi tersebut di Chrome Web Store. Pengguna Chrome disarankan untuk hanya memasang ekstensi dari penerbit tepercaya, memeriksa ulasan pengguna, serta memperhatikan izin yang diminta saat instalasi.
