به گزارش شهرآرانیوز، کارشناسان امنیت سایبری متوجه شدند ۱۰۸ افزونه مخرب در فروشگاه رسمی Chrome Web Store منتشر شده‌اند که در قالب یک کمپین سازمان‌یافته درحال سرقت اطلاعات حساس کاربران از جمله توکن‌های Google OAuth۲ هستند. 

پژوهشگران شرکت امنیتی Socket اعلام کرده‌اند که این افزونه‌ها تحت پنج هویت ناشر مختلف و در دسته‌بندی‌های متنوعی منتشر شده‌اند؛ برخی از آنها ابزار‌هایی برای استفاده در تلگرام، یوتوب و تیک‌تاک هستند، برخی نیز کار‌های مختلفی مانند ترجمه متن انجام می‌دهند. این تنوع باعث شده افزونه‌ها در نگاه اول بی‌خطر به نظر برسند و کاربران بیشتری را جذب کنند.

افزونه مخرب مرورگر کروم

طبق گزارش‌ها، کل کمپین هکر‌ها به یک بک‌اند مرکزی متکی است که روی یک سرور VPS از Contabo میزبانی می‌شود. این زیرساخت شامل چندین زیردامنه می‌شود که هرکدام تسک‌های مشخصی مانند جمع‌آوری اطلاعات هویتی، اجرای دستورات و حتی عملیات درآمدزایی مانند تبلیغات تقلبی را برعهده دارند.

از نظر فنی، بزرگ‌ترین خوشه این کمپین شامل ۷۸ افزونه است که با سوءاستفاده از ویژگی innerHTML، کد HTML تحت کنترل مهاجم را مستقیماً به رابط کاربری تزریق می‌کنند. این تکنیک می‌تواند برای دستکاری محتوا، اجرای اسکریپت‌های مخرب و فریب کاربر به کار گرفته شود.

دومین گروه بزرگ، شامل ۵۴ افزونه، از یک API به نام «chrome.identity.getAuthToken» استفاده می‌کند تا اطلاعات حساسی مانند ایمیل، نام، تصویر پروفایل و شناسه حساب گوگل کاربر را جمع‌آوری کند. این افزونه‌ها همچنین می‌توانند توکن Google OAuth۲ Bearer را به سرقت ببرند؛ این توکن کوتاه‌مدت به اپلیکیشن‌ها امکان می‌دهد به داده‌های کاربر دسترسی پیدا کنند یا از طرف او اقداماتی انجام دهند.

در میان این موارد، یک افزونه شدیدترین تهدید را متوجه امنیت کاربر می‌کند. این افزونه هر ۱۵ ثانیه نشست‌های Telegram Web را سرقت و به سرور مهاجم ارسال می‌کند. علاوه‌براین، پژوهشگران سه افزونه را شناسایی کرده‌اند که تبلیغاتی را در یوتوب و تیک‌تاک تزریق می‌کنند.

با وجود اطلاع‌رسانی Socket به گوگل، این شرکت هشدار داده که در زمان انتشار گزارش تمامی این افزونه‌های مخرب همچنان در Chrome Web Store در دسترس بوده‌اند.

منبع: دیجیاتو

{$sepehr_key_204397}