Des chercheurs de Socket exposent une campagne massive d'extensions Chrome
Les chercheurs en cybersécurité de Socket ont découvert une campagne de logiciels malveillants sophistiquée le 14 avril 2026, impliquant 108 extensions Google Chrome partageant la même infrastructure de commande et de contrôle. Les extensions étaient conçues pour collecter des données utilisateur et injecter des publicités malveillantes et du code JavaScript arbitraire dans chaque page web visitée par les utilisateurs.
Les extensions malveillantes fonctionnent comme un réseau coordonné, communiquant toutes avec des serveurs C2 identiques pour recevoir des commandes et exfiltrer des informations volées. Cette approche d'infrastructure partagée permet aux attaquants de maintenir un accès persistant à travers plusieurs installations d'extensions tout en rendant la détection et l'attribution plus difficiles pour les équipes de sécurité.
L'analyse de Socket a révélé que les extensions utilisent des techniques d'évasion avancées pour éviter la détection par les analyses de sécurité automatisées de Google. Les auteurs des logiciels malveillants ont distribué leur charge utile à travers des dizaines d'extensions apparemment légitimes, chacune avec des noms et descriptions différents mais une fonctionnalité malveillante identique en dessous. Cette stratégie de distribution a aidé la campagne à échapper aux mécanismes de sécurité du Chrome Web Store pendant une période prolongée.
Les extensions ciblent un large éventail d'activités utilisateur, des interactions sur les réseaux sociaux aux sessions bancaires en ligne. Une fois installées, elles établissent des connexions persistantes avec des serveurs distants et commencent à surveiller les comportements des utilisateurs. Le logiciel malveillant peut modifier le contenu des pages web en temps réel, injecter des scripts de minage de cryptomonnaie, rediriger les utilisateurs vers des sites de phishing et capturer des données sensibles de formulaires, y compris les identifiants de connexion et les informations de paiement.
Les chercheurs en sécurité ont noté que la campagne démontre une évolution significative des attaques basées sur les navigateurs, allant au-delà du simple vol de données vers des capacités complètes de détournement de navigateur. Les attaquants ont investi des ressources considérables pour maintenir leur infrastructure et mettre à jour leurs techniques d'évasion afin de rester en avance sur les mesures de sécurité.
Les utilisateurs de Chrome dans le monde entier font face à un risque de vol de données
La campagne d'extensions malveillantes affecte les utilisateurs de Google Chrome sur toutes les plateformes, y compris les systèmes Windows, macOS, Linux et ChromeOS. Les utilisateurs qui ont installé l'une des 108 extensions identifiées voient leurs sessions de navigation complètement compromises, les attaquants ayant accès à toutes les interactions sur les sites web, aux mots de passe stockés et aux informations personnelles saisies dans les formulaires web.
Les environnements d'entreprise font face à des risques particulièrement graves car les extensions peuvent accéder aux applications d'entreprise, aux services cloud et aux systèmes internes accessibles via le navigateur. Les organisations utilisant Chrome pour leurs opérations commerciales peuvent subir des violations de données affectant les informations des clients, les dossiers financiers et les données commerciales propriétaires. Les extensions fonctionnent avec des privilèges élevés qui leur permettent de contourner de nombreux contrôles de sécurité d'entreprise.
La campagne cible spécifiquement les utilisateurs de sites web populaires, y compris les plateformes de réseaux sociaux, les services bancaires en ligne, les sites de commerce électronique et les outils de productivité cloud. Les attaquants peuvent intercepter les codes d'authentification à deux facteurs, les jetons de session et les clés API, ce qui peut potentiellement conduire à des prises de contrôle de comptes et à un accès non autorisé aux services connectés. Les utilisateurs qui effectuent des transactions financières ou accèdent à des applications de travail sensibles via Chrome sont exposés au risque le plus élevé.
L'analyse géographique indique que les extensions ont été téléchargées par des utilisateurs du monde entier, sans ciblage régional spécifique observé. La large distribution suggère que les attaquants ont privilégié l'échelle par rapport aux attaques ciblées, visant à compromettre autant de navigateurs que possible pour maximiser leurs collectes de données et leurs revenus d'injection publicitaire.
Audit et suppression immédiats des extensions Chrome requis
Les utilisateurs de Chrome doivent immédiatement auditer leurs extensions installées et supprimer tous les modules complémentaires suspects ou inutiles. Naviguez vers chrome://extensions/ dans la barre d'adresse pour voir toutes les extensions installées. Recherchez les extensions avec des noms génériques, des dates d'installation récentes ou des éditeurs inconnus. Désactivez et supprimez toutes les extensions qui ne peuvent pas être vérifiées comme légitimes et nécessaires pour les opérations quotidiennes.
Les administrateurs système devraient déployer des politiques Chrome Enterprise pour restreindre les installations d'extensions et maintenir des listes blanches d'extensions approuvées. Utilisez la politique ExtensionInstallBlocklist pour empêcher les utilisateurs d'installer des extensions à partir de sources non fiables. Les organisations peuvent se référer aux conseils de sécurité de la CISA pour mettre en œuvre des contrôles de sécurité du navigateur dans les environnements d'entreprise.
Les utilisateurs qui soupçonnent avoir installé des extensions malveillantes doivent immédiatement changer les mots de passe de tous leurs comptes en ligne, en particulier les services bancaires et de messagerie. Effacez toutes les données du navigateur, y compris les cookies, les fichiers mis en cache et les mots de passe stockés. Effectuez des analyses antivirus complètes et surveillez les comptes financiers pour détecter les transactions non autorisées. Envisagez d'activer des mesures de sécurité supplémentaires comme les clés de sécurité matérielles pour les comptes critiques.
Les équipes de sécurité devraient mettre en œuvre une surveillance du réseau pour détecter les connexions sortantes suspectes depuis les postes de travail des utilisateurs. Les extensions malveillantes communiquent avec des domaines C2 connus qui peuvent être bloqués au périmètre du réseau. Déployez des outils de détection et de réponse aux points de terminaison capables de surveiller le comportement des extensions de navigateur et d'identifier les tentatives d'exfiltration de données non autorisées. Les chercheurs en sécurité continuent d'analyser la campagne pour identifier des indicateurs de compromission supplémentaires et développer des signatures de détection automatisées.
