Ekstensi Chrome Pencuri Kredensial Menargetkan Platform HR Enterprise

Sejumlah ekstensi berbahaya di Chrome Web Store terungkap menargetkan platform HR dan ERP enterprise dengan tujuan mencuri kredensial autentikasi serta menghambat respons keamanan. Ekstensi-ekstensi ini menyamar sebagai alat produktivitas dan keamanan, namun diam-diam melakukan pencurian sesi login dan manipulasi halaman administrasi.

Temuan tersebut diungkap oleh firma keamanan siber Socket, yang mengidentifikasi lima ekstensi Chrome berbahaya dengan total lebih dari 2.300 instalasi. Meski jumlah penggunanya relatif kecil, dampaknya berpotensi besar karena menyasar akun enterprise bernilai tinggi yang dapat menjadi pintu masuk untuk serangan ransomware dan pencurian data berskala luas.

Menurut analisis Socket, kampanye ini menjalankan tiga teknik serangan utama secara terkoordinasi: pencurian cookie autentikasi ke server jarak jauh, manipulasi DOM untuk memblokir halaman administrasi keamanan, serta injeksi cookie dua arah yang memungkinkan pembajakan sesi secara langsung. Seluruh ekstensi menargetkan platform yang sama dan berbagi pola kode, daftar deteksi alat keamanan, serta endpoint API identik—indikasi kuat adanya satu operasi terpusat meski tampil sebagai penerbit berbeda.

Menyamar sebagai Alat Produktivitas dan Keamanan

Ekstensi-ekstensi tersebut dipromosikan kepada pengguna Workday, NetSuite, dan SAP SuccessFactors. Mereka mengklaim dapat meningkatkan produktivitas, menyederhanakan alur kerja, atau memperkuat kontrol keamanan—narasi yang lazim dan meyakinkan bagi pengguna enterprise.

Salah satu ekstensi paling populer, “Data By Cloud 2”, dipasarkan sebagai dasbor untuk pengelolaan massal dan akses cepat ke berbagai akun enterprise. Ekstensi lain, “Tool Access 11”, mengklaim berfokus pada keamanan dengan membatasi akses ke fitur administratif sensitif untuk mencegah kompromi akun. Namun, tidak satu pun dari ekstensi ini mengungkapkan praktik pencurian cookie, eksfiltrasi kredensial, atau pemblokiran halaman keamanan dalam deskripsi maupun kebijakan privasinya.

Pencurian Sesi dan Penghambatan Respons Keamanan

Analisis teknis menunjukkan bahwa beberapa ekstensi secara berkala mengekstraksi cookie autentikasi bernama “__session” dari domain target. Cookie ini berisi token login aktif dan dieksfiltrasi setiap 60 detik ke server perintah-dan-kendali, memungkinkan penyerang mempertahankan akses bahkan setelah pengguna keluar dan masuk kembali.

Lebih berbahaya lagi, dua ekstensi—“Tool Access 11” dan “Data By Cloud 2”—secara aktif memblokir halaman administrasi dan respons insiden di Workday. Dengan mendeteksi judul halaman, ekstensi menghapus konten atau mengalihkan administrator dari halaman manajemen penting seperti kebijakan autentikasi, pengaturan proxy keamanan, manajemen rentang IP, kontrol sesi, pengelolaan kata sandi, perangkat 2FA, hingga log audit keamanan. Taktik ini dapat melumpuhkan kemampuan tim TI untuk merespons insiden saat terjadi.

Ekstensi “Software Access” melangkah lebih jauh dengan kemampuan injeksi cookie dua arah. Selain mencuri token sesi, ekstensi ini dapat menerima cookie curian dari server penyerang dan menyuntikkannya langsung ke peramban korban. Hasilnya, penyerang dapat mengambil alih sesi autentikasi tanpa perlu memasukkan nama pengguna, kata sandi, atau kode MFA—memungkinkan pembajakan akun secara instan.

Dampak dan Tindakan Lanjutan

Meskipun total instalasi terbatas, pencurian kredensial enterprise membuka risiko berantai yang serius. Akses awal ke platform HR/ERP dapat digunakan untuk eskalasi hak akses, pergerakan lateral, hingga pemerasan berbasis ransomware. Socket melaporkan bahwa ekstensi-ekstensi tersebut telah dilaporkan dan pada saat publikasi telah dihapus.

Organisasi yang mendapati pengguna memasang ekstensi terkait disarankan segera melakukan respons insiden: menghapus ekstensi, merotasi kredensial, mencabut sesi aktif, meninjau log akses, dan memperketat kebijakan ekstensi peramban. Edukasi pengguna tentang risiko add-on pihak ketiga dan audit rutin ekstensi juga menjadi langkah pencegahan penting ke depan.