theknewone.com@gmail[.]com を使用する同一の脅威アクターによって公開されたこれらの拡張機能は、2017年から活動しており、現在もChromeウェブストアで入手可能で、インストール数は2,180件を超えています。
「複数ロケーション対応のネットワーク速度テスト用プラグイン」として宣伝されているこれらの拡張機能は、¥9.9〜¥95.9 CNY($1.40〜$13.50 USD)の有料サブスクリプションを提供し、正規のVPN 機能があるかのような錯覚をユーザーに与えます。
AlipayおよびWeChat Payの決済連携を含むプロフェッショナルなインターフェースの裏で、これらの拡張機能はトラフィックの全面的な傍受と認証情報の流出を実行し、中間者(MITM)プロキシとして機能します。
インストール後、Phantom Shuttleは正規の jQuery v1.12.2 ライブラリに悪意あるコードを注入します。これにより拡張機能は、Chrome webRequest の onAuthRequired API を介して、あらゆるHTTP認証チャレンジにハードコードされたプロキシ認証情報(topfany/963852wei)を自動的に挿入できるようになります。
この操作により、すべてのユーザートラフィックが脅威アクターの管理下にあるプロキシサーバーへ透過的に迂回され、同意なしに 継続的なデータ収集 が可能になります。
これらの拡張機能は定期的に、香港のAlibaba Cloud上でホストされている phantomshuttle[.]space のコマンド&コントロール(C2)サーバーと通信します。
2025年12月23日時点で稼働しているこのサーバーは、ユーザー認証、サブスクリプション状況、VIPレベルの追跡を管理しています。
5分ごとに拡張機能は、セッションのアクティビティを維持し盗まれたデータを中継するため、ハートビートビーコンを通じて、メールアドレスや平文パスワードを含むユーザー認証情報を送信します。
開発者ツールやクラウドサービスを標的としていることは、サプライチェーンリスクを示唆します。盗まれたAPIキーやリポジトリの認証情報により、二次的な侵害や悪意あるコード注入キャンペーンが可能になる恐れがあります。
Socketによる追加の調査で、C2がアカウント登録、決済、設定取得のために複数の稼働中エンドポイントを使用していることが明らかになりました。
すべてのプロキシ認証および更新コマンドはこれらのAPIを経由しており、脅威アクターにユーザーの活動と認証情報の完全な可視性を提供します。
サブスクリプション型のビジネスモデルと、プロキシおよびwebRequest制御のためのブラウザ権限を組み合わせることで、Phantom Shuttleは、悪意ある拡張機能が ユーザーの信頼を収益化し、何年にもわたって検知されずに潜伏し得る ことを示しています。
翻訳元: https://cyberpress.org/fake-vpn-chrome-extensions/