Lebih dari 100 Ekstensi Chrome Web Store Kedapatan Curi Akun dan Data Pengguna
Lebih dari 100 ekstensi berbahaya yang masih beredar di etalase resmi Chrome Web Store kedapatan berusaha mencuri token akses Google (Google OAuth2 Bearer tokens), menyebarkan backdoor (pintu belakang), dan melakukan penipuan iklan (ad fraud).
Kampanye berbahaya ini pertama kali ditemukan oleh para peneliti di perusahaan keamanan aplikasi, Socket. Mereka mengungkap bahwa ratusan ekstensi jahat tersebut merupakan bagian dari satu kampanye terkoordinasi yang digerakkan menggunakan infrastruktur komando dan kontrol (C2) yang sama.
Kedok Ekstensi dan Afiliasi MaaS Rusia
Aktor ancaman secara cerdik menerbitkan ekstensi-ekstensi ini di bawah lima identitas penerbit (publisher) yang berbeda dan menyebarkannya di berbagai kategori populer. Kategori tersebut meliputi:
- Klien bilah sisi (sidebar) Telegram.
- Permainan mesin slot dan Keno.
- Alat peningkat pengalaman (enhancers) YouTube dan TikTok.
- Alat penerjemahan teks.
- Aplikasi utilitas umum.
Menurut tim peneliti, kampanye ini beroperasi menggunakan backend pusat yang di-host pada Contabo VPS, dengan banyak subdomain yang bertugas menangani pembajakan sesi, pengumpulan identitas, eksekusi perintah, hingga operasi monetisasi. Berdasarkan jejak komentar dalam kode untuk autentikasi dan pencurian sesi, Socket menemukan bukti kuat yang mengindikasikan bahwa kampanye ini terafiliasi dengan operasi Malware-as-a-Service (MaaS) asal Rusia.
Klaster Serangan dan Mekanisme Pencurian Data
Kampanye terkoordinasi ini dibagi ke dalam beberapa klaster serangan dengan fungsi spesifik:
- Injeksi HTML (78 ekstensi): Klaster terbesar ini bertugas menyuntikkan HTML yang dikendalikan oleh penyerang langsung ke dalam antarmuka pengguna melalui properti
innerHTML. - Pencurian Token dan Identitas (54 ekstensi): Kelompok ini secara diam-diam menggunakan API
chrome.identity.getAuthTokenuntuk mengumpulkan email, nama, foto profil, dan ID akun Google korban. Lebih fatal lagi, ekstensi ini mencuri Google OAuth2 Bearer token—sebuah token akses berumur pendek yang memberikan izin kepada aplikasi untuk mengakses data pengguna atau bertindak atas nama mereka. - Backdoor Tersembunyi (45 ekstensi): Batch ketiga ini memiliki fungsi tersembunyi yang langsung berjalan saat browser dinyalakan. Ia bertindak sebagai backdoor yang mengambil perintah dari server C2 dan dapat membuka URL apa pun secara sewenang-wenang tanpa memerlukan interaksi atau persetujuan dari pengguna.
Pembajakan Sesi Telegram Tingkat Lanjut
Socket secara khusus menyoroti satu ekstensi sebagai ancaman “paling parah”. Ekstensi ini dirancang untuk mencuri sesi Telegram Web setiap 15 detik, mengekstraksi data sesi dari localStorage beserta token sesinya, lalu mengirimkan informasi tersebut ke server C2 penyerang.
Lebih mengerikannya, ekstensi ini memiliki kemampuan memanipulasi dua arah. “Ekstensi ini juga menangani pesan masuk yang melakukan operasi sebaliknya: ia membersihkan localStorage milik korban, menimpanya dengan data sesi yang disediakan oleh aktor ancaman, dan memuat ulang (force-reload) Telegram,” urai laporan Socket.
Mekanisme ini memungkinkan operator siber untuk menukar browser korban ke akun Telegram yang berbeda sepenuhnya tanpa sepengetahuan korban.
Selain pencurian sesi, peneliti juga menemukan tiga ekstensi yang menghapus header keamanan dan menyuntikkan iklan mengganggu ke YouTube dan TikTok, serta satu ekstensi penerjemah yang merutekan permintaan terjemahan melalui server berbahaya.
Status Saat Ini: Ekstensi Masih Beredar
Socket menyatakan telah melaporkan temuan kampanye ini kepada pihak Google. Namun, mereka memberikan peringatan keras bahwa pada saat laporan tersebut dipublikasikan, seluruh ekstensi berbahaya tersebut masih tersedia dan dapat diunduh bebas di Chrome Web Store.
BleepingComputer turut mengonfirmasi bahwa sebagian besar ekstensi yang tercantum dalam laporan Socket memang masih berstatus aktif (live). Google hingga kini belum memberikan komentar resmi terkait insiden ini. Para pengguna Google Chrome sangat disarankan untuk segera mencocokkan ID ekstensi yang terinstal di browser mereka dengan daftar ID berbahaya yang diterbitkan oleh Socket, dan langsung menghapusnya jika terdapat kecocokan.
