Des chercheurs en cybersécurité ont découvert une nouvelle campagne où un ensemble de 108 extensions **Google Chrome** communique avec la même infrastructure de commande et de contrôle (C2). L'objectif des extensions est de collecter des données utilisateur et de permettre des abus au niveau du navigateur en injectant des publicités et du code JavaScript arbitraire dans les pages web visitées. Selon **Socket**, les extensions (liste complète [ici](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2#:~:text=Chrome%20Extension%20IDs)) sont publiées sous cinq identités d'éditeurs distinctes – **Yana Project**, **GameGen**, **SideGames**, **Rodeo Games**, et **InterAlt**. Collectivement, elles ont cumulé environ 20 000 installations dans le **Chrome Web Store**. « Les 108 extensions acheminent les identifiants volés, les identités des utilisateurs et les données de navigation vers des serveurs contrôlés par le même opérateur », a déclaré le chercheur en sécurité **Kush Pandya** [dans une analyse](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2). Parmi celles-ci, 54 modules volent l'identité du compte **Google** via OAuth2, 45 extensions contiennent une porte dérobée universelle qui ouvre des URL arbitraires dès le démarrage du navigateur, et les extensions restantes s'engagent dans une variété de comportements malveillants : * Exfiltrent les sessions **Telegram Web** toutes les 15 secondes * Suppriment les en-têtes de sécurité de **YouTube** et **TikTok** (c'est-à-dire, Content Security Policy, X-Frame-Options, et CORS) et injectent des superpositions de jeux d'argent et des publicités * Injectent des scripts de contenu dans chaque page visitée par l'utilisateur * Proxy toutes les requêtes de traduction via le serveur de l'acteur de la menace  ### Se faisant passer pour des outils légitimes Pour paraître légitimes, les extensions identifiées se présentent comme des clients latéraux **Telegram**, des jeux de machines à sous et de Keno, des améliorateurs **YouTube** et **TikTok**, des outils de traduction de texte et des utilitaires de page. La fonctionnalité annoncée est diverse, visant à jeter un large filet, tout en partageant le même backend. Cependant, le code malveillant exécuté en arrière-plan capture les informations de session, injecte des scripts arbitraires et ouvre des URL choisies par l'attaquant.  ### Exemples d'extensions malveillantes Parmi les extensions identifiées figurent : * **Telegram Multi-account** (ID : obifanppcpchlehkjipahhphbcbjekfa) : Extrait le jeton `user_auth` utilisé par **Telegram Web** et exfiltre les données vers un serveur distant. Il peut également écraser `localStorage` avec des données de session fournies par l'acteur de la menace et forcer le chargement de l'application de messagerie, remplaçant ainsi effectivement la session **Telegram** active de la victime. * **Web Client for Telegram - Teleside** (ID : mdcfennpfgkngnibjbpnpaafcjnhcjno) : Supprime les en-têtes de sécurité de **Telegram** et injecte des scripts pour voler les sessions **Telegram**. * **Formula Rush Racing Game** (ID : akebbllmckjphjiojeioooidhnddnplj) : Vole l'identité du compte **Google** de l'utilisateur, y compris l'e-mail, le nom complet, l'URL de l'image de profil et l'identifiant du compte **Google** lorsque la victime clique sur le bouton de connexion. « Cinq extensions utilisent l'API `declarativeNetRequest` de **Chrome** pour supprimer les en-têtes de sécurité des sites cibles avant le chargement de la page », a déclaré **Socket**. « Les 108 extensions malveillantes partagent le même backend, hébergé à 144.126.135[.]238. » ### Attribution et Remédiation L'identité des acteurs derrière ces extensions violant les politiques est actuellement inconnue. Cependant, l'analyse du code source a révélé des commentaires en langue russe dans plusieurs modules. Il est fortement conseillé aux utilisateurs ayant installé l'une de ces extensions de les supprimer immédiatement et de se déconnecter de toutes les sessions **Telegram Web** depuis l'application mobile **Telegram**.