サイバーセキュリティ研究者たちは、108個の**Google Chrome**拡張機能のクラスターが同じコマンド＆コントロール（C2）インフラストラクチャと通信する新たなキャンペーンを発見しました。これらの拡張機能の目的は、ユーザーデータの収集と、訪問したウェブページへの広告の注入および任意のJavaScriptコード実行によるブラウザレベルの悪用を可能にすることです。 **Socket**によると、これらの拡張機能（完全なリストは[こちら](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2#:~:text=Chrome%20Extension%20IDs)）は、**Yana Project**、**GameGen**、**SideGames**、**Rodeo Games**、**InterAlt**という5つの異なるパブリッシャーIDの下で公開されています。これらを合わせると、**Chrome Web Store**で約20,000件のインストールを記録しています。 「108個すべてが、盗まれた認証情報、ユーザーID、ブラウジングデータを同じオペレーターが制御するサーバーにルーティングしています」と、セキュリティ研究者の**Kush Pandya**は分析の中で[述べています](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2)。 これらのうち、54個のアドオンはOAuth2を介して**Google**アカウントのIDを盗み、45個の拡張機能はブラウザが起動するとすぐに任意のURLを開くユニバーサルバックドアを含んでおり、残りの拡張機能はさまざまな悪意ある動作に従事しています。 * **Telegram Web**セッションを15秒ごとに窃取 * **YouTube**および**TikTok**のセキュリティヘッダー（Content Security Policy、X-Frame-Options、CORSなど）を剥奪し、ギャンブルのオーバーレイと広告を注入 * ユーザーが訪問するすべてのページにコンテンツスクリプトを注入 * すべての翻訳リクエストを攻撃者のサーバー経由でプロキシ  ### 正規のツールを装う 正規に見せるために、特定された拡張機能は**Telegram**サイドバークライアント、スロットマシンおよびKenoゲーム、**YouTube**および**TikTok**エンハンサー、テキスト翻訳ツール、ページユーティリティなどを装っていました。宣伝されている機能は多様で、同じバックエンドを共有しながら、広い範囲をカバーすることを目指していました。 しかし、バックグラウンドで実行される悪意あるコードは、セッション情報をキャプチャし、任意のスクリプトを注入し、攻撃者が選択したURLを開きます。  ### 悪意ある拡張機能の例 特定された拡張機能の一部には以下が含まれます。 * **Telegram Multi-account** (ID: obifanppcpchlehkjipahhphbcbjekfa): **Telegram Web**で使用される`user_auth`トークンを抽出し、データをリモートサーバーに送信します。また、脅威アクターが提供したセッションデータで`localStorage`を上書きし、メッセージングアプリケーションを強制的にロードすることで、事実上被害者のアクティブな**Telegram**セッションを置き換えることができます。 * **Web Client for Telegram - Teleside** (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno): **Telegram**のセキュリティヘッダーを剥奪し、**Telegram**セッションを盗むためのスクリプトを注入します。 * **Formula Rush Racing Game** (ID: akebbllmckjphjiojeioooidhnddnplj): 被害者がサインインボタンをクリックすると、メールアドレス、氏名、プロフィール画像のURL、**Google**アカウント識別子を含むユーザーの**Google**アカウントIDを盗みます。 「5つの拡張機能は、ページがロードされる前にターゲットサイトからセキュリティヘッダーを剥奪するために、**Chrome**の`declarativeNetRequest` APIを使用しています」と**Socket**は述べています。「108個の悪意ある拡張機能すべてが、144.126.135[.]238でホストされている同じバックエンドを共有しています。」 ### 帰属と是正措置 これらのポリシー違反拡張機能の背後にいるアクターの身元は現在不明です。しかし、ソースコードの分析により、いくつかの拡張機能にロシア語のコメントが含まれていることが明らかになりました。 これらの拡張機能のいずれかをインストールしたユーザーは、直ちにアンインストールし、**Telegram**モバイルアプリからすべての**Telegram Web**セッションをログアウトすることを強く推奨します。