16 extensions Chrome populaires, dont "Adblock for Chrome", détournées lors d'une cyberattaque massive

Au total, 3,2 millions d'utilisateurs ont été touchés par les extensions Google Chrome compromises. (Source de l'image : Google - Edited)

Des extensions Chrome populaires telles que "Adblock for Chrome" et "WAToolkit" figurent parmi les 16 qui ont été détournées dans le cadre d'une attaque à grande échelle, compromettant 3,2 millions d'utilisateurs en injectant des scripts malveillants à des fins frauduleuses et en redirigeant le trafic des affiliés.

Anubhav Sharma (traduit par Ninh Duy), Publié 02/27/2025 🇺🇸 🇷🇺 ...

Security Software

Une importante faille de sécurité a compromis plus de 3,2 millions d'utilisateurs par l'intermédiaire d'un réseau d'extensions de navigateur malveillantes. Ces extensions, qui se présentent intentionnellement comme légitimes, injectent des scripts nuisibles, volent des données et se livrent même à des fraudes sur les moteurs de recherche. Les chercheurs ont déterminé que l'attaque a été exécutée par le biais d'une compromission de la chaîne d'approvisionnement, où les attaquants ont infiltré des extensions de confiance et poussé des mises à jour malveillantes sans que les utilisateurs s'en rendent compte.

Les extensions en question étaient à l'origine conçues pour le blocage des publicités, les claviers emoji et la capture d'écran, pour n'en citer que quelques-unes. Cependant, les mises à jour ont introduit des scripts obfusqués qui ont permis l'exfiltration non autorisée de données, la modification de requêtes HTTP et l'injection de publicités dans les pages web. Tous ces changements sont passés inaperçus pour les utilisateurs qui avaient précédemment accordé des autorisations à ces extensions, ce qui a permis aux attaquants de manipuler l'activité web en temps réel. De nombreux experts en sécurité ont souligné que les autorisations accordées à ces extensions, notamment l'accès à l'hôte et le contrôle des scripts, les rendaient particulièrement dangereuses.

Voici la liste complète des 16 extensions Chrome concernées :

Blipshot (captures d'écran pleine page en un clic)
Emojis - Clavier Emoji
WAToolkit
Changeur de couleurs pour YouTube
Effets vidéo pour YouTube et Audio Enhancer
Thèmes pour Chrome et YouTube™ Picture in Picture
Mike Adblock für Chrome | Chrome-Werbeblocker
Page Refresh
Wistia Video Downloader
Super Mode Sombre
Clavier Emoji Emojis pour Chrome
Adblocker pour Chrome - NoAds
Adblock pour vous
Adblock pour Chrome
Nimble Capture
KProxy

Les enquêtes ont permis de retracer cette attaque à partir de comptes de développeurs compromis. Certains développeurs ont, à leur insu, transféré le contrôle de leurs extensions aux attaquants, qui ont ensuite distribué des mises à jour malveillantes par l'intermédiaire des boutiques officielles d'extensions de navigateurs. L'infrastructure de cette attaque semble être liée à des opérations d'hameçonnage déjà connues. Les acteurs de la menace y sont parvenus en exploitant des autorisations telles que "host_permissions", "scripting" et "declarativeNetRequest".

Un autre aspect préoccupant de cette campagne est sa ressemblance avec des attaques antérieures de la chaîne d'approvisionnement, où les attaquants utilisent des logiciels de confiance pour diffuser des logiciels malveillants. L'utilisation de mécanismes de mise à jour des extensions de navigateur permet aux attaquants de contourner les mesures de sécurité traditionnelles.

Pour l'instant, les extensions identifiées ont été retirées des plateformes officielles. Néanmoins, il est conseillé aux utilisateurs de ne pas se fier uniquement aux avis positifs sur les extensions avant d'en installer de nouvelles.