Onderzoekers hebben in de Chrome Web Store meer dan honderd malafide extensies ontdekt die zich voordoen als legitieme extensie voor bijvoorbeeld vpn-applicaties, AI-agents of cryptowallets, maar in werkelijkheid allerlei data stelen. Volgens DomainTools is er sprake van een campagne die al sinds februari 2024 gaande is. Om mensen naar de malafide extensies te lokken hebben de aanvallers meer dan honderd fake websites gemaakt, aldus de onderzoekers.

Voor elke malafide extensie is een aparte fake website online gezet. Deze website bevat allerlei informatie over de extensie, alsmede een link naar de Chrome Web Store waar die te downloaden is. Deze extensies beschikken over een dubbele functionaliteit. Zo bieden ze de beloofde functionaliteit, maar vragen ook allerlei permissies waardoor er data kan worden gestolen. De onderzoekers stellen dat de extensies willekeurige code op elke bezochte website kunnen uitvoeren, waardoor het mogelijk is om inloggegevens en sessies te stelen.

Daarnaast kunnen de extensies ook advertenties op websites injecteren, gebruikers naar malafide websites doorsturen, het browserverkeer manipuleren en phishingaanvallen uitvoeren. Sommige van de onderzochte extensies bleken alle browsercookies te stelen. Google heeft meerdere van de malafide extensies uit de Chrome Web Store verwijderd, maar de aanvaller blijft steeds nieuwe extensies uploaden, zo stellen de onderzoekers.

DomainTools adviseert Chrome-gebruikers om voorzichtig te zijn bij het installeren van extensies, alleen voor geverifieerde ontwikkelaars te kiezen, goed op gevraagde permissies te letten, alert te zijn op lookalike extensies en niet meer gebruikte of verdachte extensies te verwijderen. "Waakzaamheid is de sleutel om dit soort dreigingen te vermijden."