Onderzoekers van GitLab ontdekten zestien schadelijke Chrome-extensies die code injecteerden om fraude te plegen en beveiligingsmaatregelen tegen cross-site scripting (XSS) uit te schakelen.
Meer dan 3,2 miljoen gebruikers installeerden deze extenties. Na melding verwijderde Google ze uit de Chrome Web Store. In december 2024 kregen aanvallers via phishing toegang tot de accounts van ontwikkelaars en voorzagen ze extensies van kwaadaardige code. Minstens 36 extensies waren gericht op het stelen van Facebook-inloggegevens.
GitLab analyseerde meerdere extensies en vond zestien extra malafide exemplaren die advertentie- en zoekmachinefraude faciliteerden en de Content Security Policy (CSP) uitschakelden. CSP is een cruciale beveiligingsmaatregel tegen XSS-aanvallen. Google verwijderde deze extensies uit de store, maar gebruikers moeten ze handmatig de-installeren.
Overname van ontwikkelaarsaccounts
De aanvaller (ook wel “threat actor”) verkreeg toegang via overname van ontwikkelaarsaccounts in plaats van een directe hack. Sinds juli 2024 zijn extensies voorzien van Trojaanse code. De aanvalsmethode verzwakt browserbeveiliging en verbergt schadelijke code buiten de extensies. De aanvalsketen is deels gereproduceerd, en mogelijk is de aanvaller ook betrokken bij phishingkits. De schadelijke extensies lekten gevoelige informatie en boden mogelijk initiële toegang tot systemen.
In december 2024 voerden aanvallers een software supply chain-aanval uit via gecompromitteerde ontwikkelaarsaccounts. Kwaadaardige updates verspreidden zich via de Chrome Web Store en exfiltreerden gegevens uit HTTP-headers en DOM-content. GitLab ontdekte clusters van schadelijke extensies en meldde deze aan Google, die ze in januari 2025 verwijderde.
De schadelijke extensies, waaronder emoji-toetsenborden, adblockers en proxy-tools, functioneerden normaal maar bevatten service worker-code. Bij installatie verbonden ze met een configuratieserver, verzonden informatie over versies en unieke ID’s, en sloegen ontvangen configuraties lokaal op.
Regelmatige updates werden geïnitieerd via een alarmmechanisme. Elke webaanvraag verwijderde de CSP-header, waardoor bescherming tegen XSS-aanvallen werd omzeild. Deze tactiek schendt het beleid van de Chrome Web Store en maakt gebruikers kwetsbaar.
Brede operatie door cybercriminelen
Onderzoekers ontdekten phishingkits die schadelijke scripts hosten, zoals een pagina die zich voordeed als McGill University en een phishingkit voor de Zwitserse spoorwegen SBB CFF FFS. De precieze connectie tussen de phishingkits en de aanvaller is onduidelijk, maar er zijn sterke aanwijzingen dat ze onderdeel zijn van een bredere cybercriminelenoperatie.
Deze aanvalscampagne is een grootschalige dreiging voor webbrowsers, met grote risico’s voor individuen en organisaties. Omdat browsers gevoelige gegevens verwerken, is detectie moeilijk en kunnen aanvallen snel worden uitgevoerd.
Het misbruik het update-mechanisme van de Chrome Web Store maakte deze aanval effectief. Net als bij de supply chain-aanval in december 2024 werd kwaadaardige code via updates verspreid. Dit incident benadrukt de risico’s van automatische browserextensie-updates, vooral als de controle over extensies onzichtbaar kan veranderen.