In den letzten Wochen, besorgniserregende Fälle von Erweiterungen haben zu Licht für Google Chrome, dass, nach geänderten Händen, haben Angriff Vektoren in der Lage, böswilligen Code laufen und stehlen Daten von Benutzern. Zwei der betroffenen Teile - QuickLens (ID: kdenlnncndfnhkognokfpabggehodd) und ShotBird (ID: Gengfhkjekmlejbhmmopegonoifjp) - sie veranschaulichen perfekt ein wachsendes Problem: Die Browser-Erweiterung Lieferkette kann eine Hintertür werden, wenn ein legitimes Projekt verkauft oder an einen schädlichen Schauspieler übertragen wird.
Unabhängige Forscher und Sicherheitsfirmen haben dokumentiert, wie nach der Übertragung des Eigentums Updates eingeführt wurden, die die sichtbaren Funktionen der Erweiterungen beibehalten haben, aber Mechanismen hinzugefügt, um Remote-Payloads zu injizieren und auszuführen. John Tuckner von Annex Security veröffentlichte eine technische Analyse, die im Fall von QuickLens die Fähigkeit der Erweiterung zur Entfernung von Sicherheits-Headern in HTTP-Antworten zeigt (z. X-Frame-Optionen) und damit den injizierten Skripten erleichtern, willkürliche Anfragen zu erstellen, indem sie Richtlinien wie Content Security Policy zeichnen. Ihre vollständige Forschung kann im Anhang Security Blog gelesen werden ( Anhang. Sicherheit)
Die verwendete Liefermethode ist besonders Stealth: Die Erweiterung konsultiert regelmäßig einen Befehls- und Steuerserver (C2) zum Herunterladen von JavaScript-Fragmenten, die nicht im statischen Quellcode des Pakets erscheinen. Bei QuickLens werden diese Fragmente im lokalen Browserspeicher gespeichert und laufen auf jeder Seitenlast durch Einfügen eines 1 × 1 versteckten Bildes, dessen Onload-Attribut den Code auslöst. Wie Tuckner erklärt, der bösartige Code existiert nur in Laufzeit, nicht in den sichtbaren Erweiterungsdateien, die Ihre Erkennung durch statische Analyse erschwert.
ShotBird nimmt ihrerseits eine ähnliche Strategie an, aber mit Nuancen: nach der Analyse von monxresearch-sec ( Monxresearch-sec), das Plugin direkt herunterladen JavaScript, die eine falsche Chrome Update-Benachrichtigung erstellt. Wenn der Benutzer in Täuschung fällt, wird er zu einer Seite geführt, die ihn anleitet, die Windows Run-Box zu öffnen, cmd.exe starten und ein PowerShell-Befehl einfügen, der ein ausführbares "googleupdate.exe" herunterlädt. Diese binäre öffnet die Tür zu einem System-Level-Eingriff.
Einmal aktiv im Browser oder auf dem Computer, bleibt die Missbrauchskette nicht nur in Umleitungen oder in Pop-ups: Malware bindet Formelemente (Eingabe, Textverarbeitung, Auswahl) zu erfassen, was der Benutzer schreibt, von Passwörtern zu Kartennummern oder Regierungskennzeichen. Darüber hinaus können Sie auf Daten zugreifen, die von Chrome gespeichert werden - Passwörter, Geschichte, Informationen aus anderen Erweiterungen - Erweiterung des Umfanges der Informationen Leck. Als praktische Zusammenfassung Dies kombiniert die Fernsteuerung des Browsers mit dem Schwenken in Richtung Ausführung im Host, das Risiko von der Diebstahl der Anmeldeinformationen auf die mögliche Gesamtaufnahme des Computers erhöht.
Die beobachteten technischen Muster und Infrastrukturen führen die Forscher dazu, beide Kampagnen auf den gleichen Schauspieler zuzuordnen: die Verwendung der gleichen C2-Architektur, klicken Sie aufFix-artige Lures in die Seiten eingespritzt und die Übertragung des Eigentums an den Erweiterungen als Eingabepunkt. Das Phänomen ist nicht isoliert. Parallel warnte Microsoft über Chrom-basierte Erweiterungen, die als IA-Assistenten posieren und Chat Histories und Navigationsdaten extrahieren ( Microsoft Defender blog), und andere Geräte, wie die von Palo Alto Networks Unit 42, haben Spuren von Kampagnen veröffentlicht, in denen Erweiterungen als entfernte Trojaner wirken oder großformatige Browser-Hijacking ( Einheit 42)
Erweiterungen wurden auch erkannt, dass supplant legitime Dienste zu stehlen Krypto-Samen-Sätze durch Umleitung auf Phishing-Seiten, wie von Socket in dem Fall, dass imitieren ImToken ( Sockel) Der Rahmen zeigt, dass neben dem direkten wirtschaftlichen Anreiz viele dieser Projekte Teil der Mitgliedschaftsprogramme oder koordinierte Kampagnen sind, die Infrastruktur und Techniken wiederverwenden.
Was können Nutzer und Organisationen über diese Art von Risiko tun? Die erste und dringendste Sache ist, zu überprüfen, ob die betreffenden Erweiterungen installiert sind und, wenn ja, sie sofort deinstallieren. Google bietet Anweisungen zu verwalten und zu entfernen Ergänzungen in Ihrer offiziellen Hilfe ( Chrome Unterstützung) Auf der Ebene der guten Praxis ist es angebracht, Erweiterungen außerhalb des offiziellen Speichers oder von unbekannten Entwicklern zu vermeiden, um die Berechtigungen zu überprüfen, die eine Erweiterung erfordern, bevor sie genehmigt werden, und Erweiterungen im Browser zu minimieren. Wenn Verdacht besteht, dass eine Malware-Code in das System heruntergeladen wurde, wird empfohlen, eine Analyse mit einem aktualisierten Antivirus durchzuführen, Passwörter von einem sauberen Gerät zu ändern und Multifaktor-Authentifizierung zu aktivieren, wo immer möglich.
Für Unternehmen und Manager wird empfohlen, zentralisierte Steuerungsrichtlinien anzuwenden, auf denen Erweiterungen installiert werden können (weiße Listen), unberechtigte Installationen zu prüfen und zu blockieren und die Navigationstelemetrie zu überwachen. Google bietet Business-Management-Tools, um Erweiterungen in Unternehmensumgebungen zu verwalten und einzuschränken; sie sind es wert, mit sensiblen Daten zu arbeiten oder Geräte mit Unternehmensnetzwerken zu verbinden.
Die Episode von QuickLens und ShotBird zeigt eine klare Lektion: eine beliebte und verifizierte Ergänzung kann zum Zeitpunkt der Änderung des Eigentümers nicht mehr gut. Der Speicher unterstützt Transfers und, wenn es keine zusätzliche Kontrolle gibt, können neue Eigentümer Updates veröffentlichen, die ein Dienstprogramm in einen Massenintrusionsmechanismus verwandeln. Während Plattformen und Regler ihre Kontrollen stärken, liegt die unmittelbare Verantwortung bei Benutzern, Sicherheitsteams und Administratoren, um ihre Browser mit Kriterien zu überprüfen und zu reinigen.
Wenn Sie sich vertiefen wollen, sind hier einige Ressourcen mit technischer Analyse und Überwachung von Indikatoren: der Anhang Sicherheitsbericht über QuickLens ( Anhang. Sicherheit), die Studie von monxresearch-sec auf ShotBird ( Monxresearch-sec), die Microsoft Defender Warnung auf böswillige Erweiterungen von IA ( Microsoft), und das Repository Unit 42, das Kampagnen und Listen von IOCs dokumentiert ( Einheit 42)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...