Au cours des dernières semaines , les cas inquiétants d'extensions sont venus à la lumière pour Google Chrome que , après avoir changé de mains , sont devenus vecteurs d'attaque capables d'exécuter le code malveillant et de voler des données des utilisateurs . Deux des parties touchées - QuickLens (ID: C'est la raison pour laquelle la Commission a décidé d'accorder une aide d'État à l'agriculture.) et ShotBird (ID: gendfhkjekmlejbhmopegonoifnjp) - ils illustrent parfaitement un problème croissant: la chaîne d'approvisionnement d'extension de navigateur peut devenir une porte arrière si un projet légitime est vendu ou transféré à un acteur malveillant.
Des chercheurs indépendants et des entreprises de sécurité ont documenté comment, après le transfert de propriété, des mises à jour ont été introduites qui maintenaient les fonctions visibles des extensions, mais ajoutaient des mécanismes pour injecter et exécuter des charges utiles à distance. John Tuckner d'Annexe Security a publié une analyse technique qui montre, dans le cas de QuickLens, la capacité de l'extension à supprimer les en-têtes de sécurité dans les réponses HTTP (par exemple, X-Frame-Options) et permet ainsi aux scripts injectés de faire des requêtes arbitraires en dessinant des politiques telles que la politique de sécurité du contenu. Votre recherche complète peut être lue sur le blog Annexe Sécurité ( annexe.sécurité).
La méthode de livraison utilisée est particulièrement furtive : l'extension consulte régulièrement un serveur de commande et de contrôle (C2) pour télécharger des fragments JavaScript, qui n'apparaissent pas dans le code source statique du paquet. Chez QuickLens, ces fragments sont stockés dans le stockage local du navigateur et exécutés sur chaque chargement de page en insérant une image cachée de 1 × 1 dont l'attribut onload déclenche le code. Comme l'explique Tuckner, le code malveillant existe seulement dans le temps d'exécution, pas dans les fichiers d'extension visibles, ce qui complique votre détection par analyse statique.
ShotBird, pour sa part, adopte une stratégie similaire mais avec des nuances: selon l'analyse de monxresearch-sec ( monxrecherche-sec), le plugin directement télécharger JavaScript qui crée une fausse notification Chrome mise à jour. Si l'utilisateur tombe dans la tromperie, il est conduit à une page qui lui donne pour instruction d'ouvrir la boîte d'exécution Windows, lancer cmd.exe et coller une commande PowerShell qui finit par télécharger un exécutable appelé "googleupdate.exe." Ce binaire ouvre la porte à un engagement au niveau du système.
Une fois active dans le navigateur ou sur l'ordinateur, la chaîne d'abus ne reste pas seulement dans les redirections ou les pop-ups: malware lie des éléments de forme (entrée, texte, sélectionner) pour capturer ce que l'utilisateur écrit, des mots de passe aux numéros de carte ou d'identificateurs gouvernementaux. En outre, vous pouvez accéder aux données stockées par Chrome - mots de passe, historique, informations d'autres extensions - élargissement de la portée de la fuite d'information. En résumé, cela combine télécommande du navigateur avec pivot vers l'exécution dans l'hôte, augmentant le risque du vol d'accréditations à la prise totale possible de l'ordinateur.
Les modèles techniques et l'infrastructure observés amènent les chercheurs à attribuer les deux campagnes au même acteur : utilisation de la même architecture C2, clickFix-type lures injecté dans les pages et transfert de propriété des extensions comme point d'entrée. Le phénomène n'est pas isolé. En parallèle, Microsoft a mis en garde contre les extensions basées sur le chrome qui posent comme assistants IA et extraire des histoires de chat et des données de navigation ( Blog de Microsoft Defender), et d'autres équipements, tels que ceux de Palo Alto Networks Unit 42, ont publié des traces de campagnes où les extensions agissent comme des trojans à distance ou effectuent un détournement de navigateur à grande échelle ( Unité 42).
Des extensions ont également été détectées qui supplantent les services légitimes pour voler les phrases de semences cryptographiques en redirigeant vers les pages d'hameçonnage, comme documenté par Socket dans le cas qui imitent imToken ( Socket). Le cadre montre qu'en plus de l'incitation économique directe, nombre de ces projets font partie de programmes d'adhésion ou de campagnes coordonnées de réutilisation des infrastructures et des techniques.
Que peuvent faire les utilisateurs et les organisations à ce sujet? Le premier et le plus urgent est de vérifier si les extensions concernées sont installées et, dans l'affirmative, de les désinstaller immédiatement. Google propose des instructions pour gérer et supprimer les suppléments dans votre aide officielle ( Support Chrome). Au niveau des bonnes pratiques, il convient d'éviter d'installer des extensions en dehors du magasin officiel ou de développeurs inconnus, d'examiner les autorisations qui nécessitent une extension avant d'être approuvées, et de minimiser les extensions dans le navigateur. S'il y a des soupçons qu'un malware téléchargé code dans le système, il est recommandé d'exécuter une analyse avec un antivirus mis à jour, changer les mots de passe d'un appareil propre et activer l'authentification multifactor dans la mesure du possible.
Pour les entreprises et les gestionnaires, il est recommandé d'appliquer des politiques de contrôle centralisées sur lesquelles des extensions peuvent être installées (listes blanches), de vérifier et bloquer les installations non autorisées et de surveiller la télémétrie de navigation. Google fournit des outils de gestion d'entreprise pour gérer et limiter les extensions dans les environnements d'entreprise; ils valent la peine de travailler avec des données sensibles ou de connecter des équipements aux réseaux d'entreprise.
L'épisode de QuickLens et ShotBird montre une leçon claire: un complément populaire et vérifié ne peut plus être bénin au moment du changement de propriétaire. Le magasin supporte les transferts et, à moins d'un contrôle supplémentaire, les nouveaux propriétaires peuvent publier des mises à jour qui transforment un utilitaire en mécanisme d'intrusion de masse. Alors que les plateformes et les régulateurs renforcent leurs contrôles, la responsabilité immédiate incombe aux utilisateurs, aux équipes de sécurité et aux administrateurs d'inspecter et de nettoyer leur navigateur avec des critères.
Si vous voulez approfondir, voici quelques ressources avec analyse technique et suivi des indicateurs: le rapport de sécurité annexe sur QuickLens ( annexe.sécurité), l'étude de monxresearch-sec sur ShotBird ( monxrecherche-sec), l'alerte Microsoft Defender sur les extensions malveillantes de IA ( Microsoft) et le dépôt de l'unité 42 qui documente les campagnes et les listes des CIO ( Unité 42).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...