La société de sécurité applicative **Socket** a identifié plus de 100 extensions malveillantes opérant activement au sein du **Chrome Web Store** officiel. Ces extensions sont conçues pour voler les jetons d'authentification OAuth2 Bearer de **Google**, établir des backdoors et perpétrer de la fraude publicitaire. Les chercheurs ont déterminé que ces extensions font partie d'une campagne coordonnée, communiquant toutes avec la même infrastructure de commande et de contrôle (C2). Les acteurs de la menace ont distribué ces extensions sous cinq identités d'éditeurs différentes, couvrant des catégories telles que des clients de barre latérale Telegram, des jeux de machines à sous et de Keno, des améliorateurs YouTube et TikTok, un outil de traduction de texte et des utilitaires généraux. Selon le rapport, la campagne utilise un backend central hébergé sur un VPS Contabo. Ce backend est divisé en plusieurs sous-domaines responsables du détournement de sessions, de la collecte d'identités, de l'exécution de commandes et de la monétisation. L'analyse de **Socket** suggère l'implication d'une opération russe de malware-as-a-service (MaaS), sur la base de commentaires trouvés dans le code liés à l'authentification et au vol de sessions.  ### Collecte de données et détournement de comptes Le plus grand groupe d'extensions malveillantes, totalisant 78, injecte du HTML contrôlé par l'attaquant dans l'interface utilisateur en utilisant la propriété ‘innerHTML’. Cela permet aux attaquants de manipuler le contenu affiché à l'utilisateur. Le deuxième plus grand groupe, comprenant 54 extensions, utilise ‘chrome.identity.getAuthToken’ pour collecter des données utilisateur sensibles, y compris les adresses e-mail, les noms, les photos de profil et les identifiants de compte **Google**. Ces extensions ciblent également le jeton d'authentification OAuth2 Bearer de **Google**, une credential de courte durée qui accorde aux applications l'accès aux données d'un utilisateur ou la capacité d'agir en son nom. La compromission de ce jeton permet aux attaquants d'usurper l'identité de l'utilisateur.  Un troisième groupe de 45 extensions inclut une fonction cachée qui s'exécute au démarrage du navigateur. Cette fonction agit comme une backdoor, récupérant des commandes du serveur C2 et étant capable d'ouvrir des URL arbitraires sans nécessiter d'interaction utilisateur. Une extension particulièrement préoccupante mise en évidence par **Socket** vole les sessions **Telegram** Web toutes les 15 secondes. Elle extrait les données de session de ‘localStorage’ et le jeton de session pour **Telegram** Web, transmettant ces informations au C2. « L'extension gère également un message entrant (set_session_changed) qui effectue l'opération inverse : elle efface le localStorage de la victime, le remplace par des données de session fournies par l'acteur de la menace, et force le rechargement de Telegram », explique **Socket**. « Cela permet à l'opérateur de remplacer le navigateur de n'importe quelle victime par un compte **Telegram** différent à l'insu de la victime. » Les chercheurs ont également identifié trois extensions conçues pour supprimer les en-têtes de sécurité et injecter des publicités dans **YouTube** et **TikTok**, une extension qui relaie les requêtes de traduction via un serveur malveillant, et une extension de vol de session **Telegram** non active utilisant une infrastructure staged. **Socket** a signalé la campagne à **Google**, mais au moment de la publication de leur rapport, toutes les extensions malveillantes restaient disponibles sur le **Chrome Web Store**. BleepingComputer a confirmé que bon nombre des extensions listées dans le rapport de **Socket** sont toujours actives. Ils ont contacté **Google** pour obtenir un commentaire mais n'ont pas encore reçu de réponse. Il est fortement conseillé aux utilisateurs de vérifier leurs extensions installées par rapport aux identifiants publiés par **Socket** et de désinstaller immédiatement toute correspondance.