La boutique en ligne Chrome héberge 108 extensions de vol de jetons
Des chercheurs en sécurité ont découvert 108 extensions de navigateur malveillantes distribuées via la boutique officielle Chrome de Google le 14 avril 2026. Ces extensions ciblent spécifiquement les jetons Google OAuth2 Bearer, qui fournissent un accès authentifié aux services Google sans nécessiter que les utilisateurs ressaisissent leurs mots de passe. Le code malveillant fonctionne en interceptant les flux d'authentification et en exfiltrant les jetons sensibles vers des serveurs contrôlés par les attaquants.
La campagne représente une attaque sophistiquée de la chaîne d'approvisionnement exploitant l'écosystème de confiance de la boutique en ligne Chrome. Contrairement à la distribution traditionnelle de logiciels malveillants via des sites Web suspects, ces extensions ont passé le processus de révision automatisé de Google et semblaient légitimes pour les utilisateurs non méfiants. Chaque extension utilisait du code JavaScript obfusqué conçu pour échapper à la détection tout en maintenant une fonctionnalité normale pour éviter les soupçons des utilisateurs.
Les extensions malveillantes opèrent simultanément à travers plusieurs vecteurs d'attaque. La fonctionnalité principale inclut la collecte de jetons OAuth2, où les extensions surveillent les demandes d'authentification du navigateur et extraient les jetons Bearer lors des connexions aux services Google. Les charges utiles secondaires déploient des portes dérobées persistantes qui établissent des canaux de communication de commande et de contrôle avec des serveurs distants. Des modules supplémentaires exécutent des schémas de fraude publicitaire en générant des clics et des impressions artificiels pour monétiser les sessions de navigateur compromises.
La découverte a eu lieu lorsque des chercheurs en sécurité de The Hacker News ont identifié des modèles de trafic réseau suspects provenant de plusieurs installations Chrome. L'analyse a révélé une exfiltration de données cohérente vers des domaines enregistrés au cours des 90 derniers jours, indiquant une campagne coordonnée plutôt que des incidents isolés. Les extensions maintenaient un profil bas en limitant la fréquence des activités malveillantes et en ciblant des groupes d'utilisateurs spécifiques pour éviter une détection massive.
L'analyse technique montre que les extensions utilisent des API Chrome légitimes pour l'escalade des permissions. Elles demandent un accès large aux données de navigation, aux cookies et aux onglets actifs sous couvert de fonctionnalités de productivité ou d'utilité. Une fois installées, le code malveillant surveille les appels XMLHttpRequest et Fetch API pour identifier les flux d'authentification OAuth2. L'extraction de jetons se produit par manipulation du DOM et injection JavaScript ciblant les points de terminaison d'authentification de Google.
Utilisateurs de Chrome et accès aux services Google à risque
Les extensions malveillantes affectent principalement les utilisateurs du navigateur Chrome qui ont installé l'une des 108 extensions identifiées depuis la boutique officielle. Google n'a pas divulgué les chiffres exacts de téléchargement, mais les chercheurs en sécurité estiment une exposition potentielle de centaines de milliers d'utilisateurs en se basant sur les modèles typiques d'adoption des extensions. Les utilisateurs avec des comptes Google Workspace actifs, un accès à Gmail et des identifiants Google Cloud Platform sont les plus à risque en raison de la valeur de leurs jetons OAuth2.
Les environnements d'entreprise représentent des cibles particulièrement attrayantes pour les attaquants. Les organisations utilisant Google Workspace pour les opérations commerciales, les implémentations de connexion unique et la gestion des ressources cloud pourraient faire face à des attaques de mouvement latéral si les navigateurs des employés sont compromis. Les jetons OAuth2 volés fournissent un accès persistant aux services Google sans déclencher de nouvelles invites d'authentification, permettant un accès non autorisé prolongé aux données et systèmes d'entreprise.
L'analyse de la distribution géographique indique que la campagne a ciblé des utilisateurs à l'échelle mondiale, sans focus régional spécifique. Cependant, les extensions commercialisées en anglais et présentant des descriptions axées sur la productivité suggèrent un ciblage principal des utilisateurs professionnels et des professionnels techniques. La large distribution sur la boutique en ligne Chrome assure une portée maximale à travers différents segments d'utilisateurs et types d'organisations.
Les utilisateurs individuels font face à des risques tels que l'accès non autorisé aux comptes Gmail, aux fichiers Google Drive, aux collections Google Photos et aux chaînes YouTube. Le vol de jetons OAuth2 permet aux attaquants d'accéder à ces services depuis différents appareils et emplacements sans déclencher d'alertes de sécurité qui accompagnent généralement les tentatives de connexion suspectes depuis de nouveaux emplacements ou appareils.
Réponse immédiate et sécurité des extensions Chrome
Les utilisateurs de Chrome doivent immédiatement auditer leurs extensions installées via l'interface chrome://extensions/. Supprimez toutes les extensions récemment installées qui demandent de larges permissions pour les données de navigation, les cookies ou l'accès aux onglets, sauf si cela est absolument nécessaire pour une fonctionnalité légitime. Portez une attention particulière aux extensions installées au cours des 90 derniers jours qui offrent des fonctionnalités de productivité ou d'utilité vagues sans propositions de valeur claires.
Google a commencé à supprimer les extensions malveillantes identifiées de la boutique en ligne Chrome, mais les utilisateurs qui les ont installées précédemment doivent prendre des mesures manuelles. Accédez aux paramètres de Chrome > Confidentialité et sécurité > Paramètres du site > Cookies et autres données de site, puis effacez toutes les données d'authentification stockées pour les services Google. Cette action invalide les jetons OAuth2 existants et force de nouveaux flux d'authentification qui contournent les identifiants compromis.
Les organisations devraient mettre en œuvre immédiatement des politiques d'extension Chrome via les contrôles de stratégie de groupe ou Chrome Enterprise. Désactivez l'installation automatique des extensions et exigez une approbation administrative pour toutes les nouvelles extensions. Passez en revue les inventaires d'extensions existants sur les appareils d'entreprise et supprimez toutes les extensions qui ne peuvent pas être vérifiées via des canaux de fournisseurs officiels ou des examens de sécurité établis.
Pour une remédiation complète, les utilisateurs devraient révoquer tous les jetons OAuth2 actifs via les paramètres de sécurité du compte Google. Accédez à myaccount.google.com/security, naviguez vers "Applications tierces avec accès au compte" et retirez l'autorisation pour toutes les applications ou services non reconnus. Activez l'authentification à deux facteurs sur tous les comptes Google pour ajouter des couches de protection supplémentaires au-delà des jetons OAuth2.
Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils supplémentaires pour les organisations gérant les risques de sécurité des navigateurs. Mettez en œuvre une surveillance du réseau pour détecter des modèles d'utilisation inhabituels de jetons d'authentification et établissez des comportements de référence pour un accès légitime aux services Google. Déployez des solutions de détection des points de terminaison capables de surveiller le comportement des extensions de navigateur et d'identifier les communications réseau suspectes provenant des processus de navigateur.
