In dieser Woche haben Sicherheitsforscher die Alarme auf ein Risiko, dass viele Benutzer unterschätzen: Browser-Erweiterungen. Was scheint ein harmloses Dienstprogramm zu sein - ein Ad-Blocker, ein Produktivitätstool oder eine Ergänzung, um die Erfahrung mit ChatGPT zu verbessern - in einigen Fällen hat sich als eine Hintertür zum stehlen von Daten, manipulieren Affiliate-Links und sogar Exfilter-Authentifizierungs-Token herausgestellt.
Der auffälligste Fall ist, dass einer Erweiterung, die als Werbeblocker für Amazon beworben wurde und dass es neben dem Entfernen von gesponserten Inhalten alle Produktlinks, um das Affiliate-Label des Entwicklers einfügen stumm modifiziert. Socket veröffentlichte eine ausführliche Analyse, die darauf hindeutete, dass die Erweiterung "Amazon Ads Blocker" (ID: pnpchphmplpdimlknjoiopmfphellj) von einem Schauspieler, der als "10Xprofit" präsentiert wird, erhöht wurde und den Affiliateparameter injiziert 10xprofit-20 in Amazon-Seiten, Ersetzen oder Hinzufügen eigener Labels ohne Benutzerinteraktion ( Socketbericht)
Diese Ergänzung scheint kein isolierter Fall zu sein. Die gleiche Analyse verlinkt auf eine breitere Reihe von Dutzenden von e-Commerce-orientierten Erweiterungen, die in ähnlicher Weise arbeiten, beeinflussen Geschäfte wie AliExpress, Best Buy, Shein, Shopify und Walmart. In einigen dieser Ergänzungen sind die schädlichen Tags, die injiziert werden, unterschiedlich - zum Beispiel, Ketten verbunden mit AliExpress als _ c3pFXV63- und in anderen Fällen die Werkzeuge hinzufügen falsche "begrenzte Angebot" Zähler, um den Kauf zu erfassen Provisionen drücken.
Dieses Verhalten stiehlt nicht nur Einnahmen von Content-Erstellern und legitimen Affiliates, sondern führt auch in die Richtlinien des Erweiterungsspeichers: Google erfordert, dass Erweiterungen mit Affiliate-Links es genau erklären, Benutzer Aktion anfordern, bevor Codes injizieren und nicht ersetzen fremde Etiketten. Die erkannte Praxis generiert nach Angaben der Forscher irreführende Zustimmung, weil die Ergänzungsseite eine andere Funktion beschreibt als die, die sie tatsächlich durchführt ( Chrome Web Affiliate-Richtlinie speichern)
Neben Mitgliedsbetrug haben andere Forscherteams Erweiterungen ausgesetzt, um sensiblere Informationen zu stehlen. Broadcom-Besitzer Symantec berichtete Ergänzungen, die gefährliche Berechtigungen für externe Domains gaben, gesammelte Cookies, injizierte Anzeigen, geänderte Suchmaschinen für andere, die von den Angreifern kontrolliert und sogar abhängig von bekannten Sicherheitslücken, um Remote-Code auszuführen. Unter den identifizierten Bedrohungen sind Erweiterungen, die Remote-Zugriff auf die Zwischenablage oder Umleitung von Suchvorgängen verlangen, um von Benutzern eingeführte Begriffe zu erfassen.
Parallel dazu hat eine andere Familie von Erweiterungen das Vertrauen in künstliche Intelligenz-Marken genutzt, um ChatGPT-Nutzer anzugreifen. Ebene X-Forscher beschrieben eine Kampagne von zehneinhalb Ergänzungen, die Skripte in Chatgpt [.] com injizieren, um OpenAI Session-Token zu erfassen. Diese Token ermöglichen es einem Angreifer, mit den gleichen Berechtigungen wie sein Opfer im ChatGPT-Konto zu handeln, einschließlich des Zugangs zu Gesprächshistorikern, Einträgen und sensiblen Daten, die in den Chats geteilt werden ( Ebene X Bericht)
Die Taktik ist für ihre Einfachheit und Wirksamkeit beunruhigt: viele dieser Erweiterungen werden als Dienstprogramme vorgestellt, um die Erfahrung mit Sprachmodellen (Prompt Manager, Sprachdownloads, Gesprächsorganisatoren) zu verbessern und um die Erlaubnis zu bitten, Code auf OpenAI-Seiten auszuführen. Mit diesem Zugriff können sie Authentifizierungs-Token auf Remoteserver abfangen und ausfiltrieren, die von den Angreifern gesteuert werden.
Dieses Missbrauchsmuster wurde durch die Entstehung von kommerziellen Malware-Erstellungs-Kits erweitert: Werkzeuge, die es Schauspielern mit wenig Wissen ermöglichen, schädliche Erweiterungen zu generieren und die Opfer von einem Bedienfeld zu verwalten, einschließlich der Fähigkeit, Phishing-Seiten innerhalb von iframes, die zu legitimen Websites gehören scheinen. Kunden dieser Dienstleistungen nehmen sogar an, Hilfe zu bieten, um die Veröffentlichung Filter zu überwinden, was das Risiko erhöht, weil es die Ankunft von Bedrohungen für offizielle Geschäfte erleichtert.
Die allgemeine Feststellung, die von den Sicherheitsteams hervorgehoben wird, ist klar: der Browser als wertvoller Endpunkt als das Betriebssystem selbst geworden. Erweiterungen, die einen hohen Zugriff erfordern, werden in privilegierte Vektoren umgewandelt, um Daten zu exfiltern oder Web-Erfahrung zu manipulieren, ohne auf herkömmliche Exploits zurückgreifen zu müssen, was besonders gefährlich in Arbeitsumgebungen ist, die von SaaS und Cloud-Tools abhängen.
Was kann ein Benutzer oder ein Sicherheitsbeamter tun, um sich zu schützen? Das grundlegende und effektive beginnt mit einer sorgfältigen Erweiterungsverwaltung: Überprüfen Sie die Berechtigungen vor der Installation, vermeiden Sie Werkzeuge, die für den Zugriff auf volle Domains oder die Möglichkeit, Skripte überall laufen zu lassen, und Misstrauen von Ergänzungen, die "magic" Funktionen versprechen, ohne einen überprüfbaren Ruf. Google veröffentlicht Anleitungen und Standards für Entwickler und Benutzer über die Nutzung von Affiliate und die Gestaltung von Erweiterungen; es wird empfohlen, sie zu kennen Nicht-Compliance ( Web Store Richtlinien)
Wenn Sie vermuten, dass eine Erweiterung Ihr ChatGPT-Konto beeinträchtigt hat, enthalten dringende Schritte das Schließen von OpenAI von allen Geräten, das Drehen des Passworts und die Aktivierung der Authentifizierung von zwei Faktoren. Es ist auch angezeigt, die Erweiterung und jede andere, die von der Browser-Erweiterungsverwaltungsseite (z. So entfernen Sie Erweiterungen in Chrome), saubere Cookies und lokale Token und überprüfen autorisierten Zugriff in verbundenen Anwendungen.
Nicht weniger wichtig ist die Antwort von Organisationen: Unternehmen sollten die Genehmigungskontrollen oder die Sperrung von Richtlinien für Erweiterungen in Unternehmensumgebungen anwenden und IT-Teams ermutigen, die Installation und das Audit von Ergänzungen zu zentralisieren. Wenn der Browser das Gateway zu Dokumenten, E-Mails und Cloud-Diensten ist, wird das Risiko einer schädlichen Erweiterung multipliziert.
Schließlich sei daran erinnert, dass die Bedrohung nicht neu ist, sondern den Angreifern zugänglicher ist. Historische Schwachstellen in Drittanbieter-Plugins bleiben ausnutzbar, wenn eine Ergänzung von ihnen nutzt, um Code auszuführen, wie dies bei einem alten Ausfall in einem Plugin von Grafiken der als CVE-2020-28707 identifiziert wurde und die noch in Angriffsketten erscheint, wenn es nicht richtig verwaltet wird ( Detail CVE-2020-28707)
Zusammenfassung: Erweiterungen können Tag für Tag verbessern, aber sie können auch Werkzeuge von Betrug und Spionage. Überprüfen Sie, was Sie installiert haben, vergleichen Sie Berechtigungen mit realer Funktionalität, entfernen Sie, was Sie nicht brauchen und, wenn Sie in einer Organisation arbeiten, Koordinatenrichtlinien, um zu kontrollieren, was zu Ihren Infrastruktur-Browsern hinzugefügt werden kann. Die Angreiferinnen und Angreifer üben ihre Werkzeuge weiter aus; die beste Antwort bleibt eine Kombination aus Vorsicht, Bildung und technischen Kontrollen.
Um diese Vorfälle zu vertiefen, empfehle ich, Sockets technische Analyse der Entführung von Affiliate-Links zu lesen ( Sockel), LayerX-Bericht über die Diebstahl von ChatGPT-Token ( EbeneX) und einen Artikel, der das Phänomen irreführender Erweiterungen und gefährlicher Genehmigungen kontextualisiert ( Sicherheit.com)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...