Cyberhaven事件や「2025年2月」事件(300万人のユーザーが悪質なChrome拡張機能を通じて漏洩した事件)がChrome Web Storeに潜む唯一のマルウェアキャンペーンだと思うかもしれません。実際のところ、私たちはChrome Web Storeで毎月、毎月、毎月マルウェアを発見しています。
そこで、マーケットプレイスのサプライチェーン攻撃を公開する伝統に従い、過去1ヶ月間にChrome Web Storeで発見したものをご紹介したいと思います。
45個の拡張機能がマルウェアで露出。25万人のユーザーが感染。
この話に入る前に、ブログ記事の下部にすべてのIOCが掲載されていることをお伝えしたいと思います。
では、始めましょう。
正直なところ、この時点でマルウェアが見つからなければ、私は心配になります。
私たちのビジネスは、マルウェアやマーケットプレイスにおけるその他の問題から組織を保護することです。今日、マーケットプレイス(Chrome Web Store、Huggingface、Github、VSCode Marketplaceなど)は、ソフトウェアが組織に進入する最大の入口であり、管理されていない場合は非常に危険です。この組織のリスク軽減を支援するために私たちが行うことの一部は、これらのマーケットプレイスを継続的にスキャンし、すべてのマーケットプレイス項目のリスクを自動的に分析することです。
Chrome Web Storeはそのようなマーケットプレイスの1つであり、私たちのリスク分析を通じて、毎月発見される数十のマルウェア項目にフラグを立てています。
本日は、いくつかの発見をお知らせして、次のインシデントを回避するのをお手伝いします。
では、今月は何を発見しましたか?
3つの重要なキャンペーンを発見しました。1つはGoogle/Bing/Yahooなどの一般的な検索エンジンの検索結果を操作でき、フィッシングWebサイトに誘導できます。2番目はリモートペイロードをWebサイトにダウンロードして注入し、3番目はブラウザを弱体化させ、オンデマンドで悪質なWebサイトに誘導します。
まず、「ビデオダウンローダー」という一見単純な拡張機能があります。これは、人気のあるWebサイトからビデオファイルを保存できるようにします。
その評価、10,000人のユーザー、洗練された設計の裏には、3時間ごとに新しい設定を取得し、Chromeネットワークルールを操作し、収集した情報をC2サーバーに送信するC2サーバーが隠れています。これは検索エンジンの結果を操作するキャンペーンの一部です。私たちのリスクエンジンは悪意のある動作を示すドメインに自動的にピボットし、同じ正確な動作と同じ悪質なコードを示し、攻撃インフラを共有する多くの拡張機能を含む広範なキャンペーンを発見しました。
👉 いくつかの例:
Downloader For Instagram(80K インストール):bhfelhfpjghfmhogedjnlmdpkbhmjhlf、ompafndkajgkoldjbgnbikogdkljinlb(🚨ストア内で有効)
Bass Booster(10K インストール):ndhaplegimoabombidcdfogcnpmcicik
Video Downloader(10K インストール):kghcdbkokgjghlfeojcpeoclfnljkbdk(🚨ストア内で有効)
合計:105K 人の感染ユーザー。
楽しい事実:一部の拡張機能では、バージョン更新で悪質なコードが導入されました。例えば、Bass Booterはバージョン2.1まで安全でしたが、その時点で悪質なコードが導入されました。これはバージョン更新の制御の重要性を強調しています。
😅😅
次に、第2段階の暗号化されたペイロードをダウンロードし、それをローカルストレージに保存し、非表示のDOM要素としてWebサイトに注入する拡張機能の広範なキャンペーンがあります。私たちのリスクエンジンは多くの理由でこれにフラグを立てました。最も興味深いことに、コード類似性スキャナーがこれにフラグを立て、すべての拡張機能で同じ攻撃パターンを発見しました。下のスニペットで見られる「CEB」は、すべてのこれらの拡張機能で使用される同じ攻撃者の識別子です。
👉 いくつかの例:
Meta Pixel Debugger:lhfgpkbdjfgdgcmpfdlcldohckepmidb
Easy Link Saver:gaphdgiciagcoikgdldobainboocpoid
DeepSeek AI | Free AI Assistant:pocfdebmmcmfanifcfeeiafokecfkikj
CreativePeek — Free tool:mblkbbabkcmjnegndgcepingkhcjabhh
最後に、同じ攻撃インフラを共有する複数のVPN拡張機能があります。実際、これが最初にこれらにフラグを立てたものです。私たちのリスクエンジンは、以前に報告された悪質な拡張機能とそのインフラを調査し、再犯を探します。この場合、いくつかのVPN拡張機能を発見しました。その1つはまだストア内で有効であり、以前に記録されたキャンペーンの攻撃インフラを使用しています。それらはすべて互いに同じ基盤となるサーバーを使用し、すべて以前に見られた同じ悪質なCSPストリップ戦略を共有しています。
👉 いくつかの例:
FVP Free Vpn Proxy(90K インストール):ebldcmdjfokdlhlldbfgljogkjkadoag
Thunder FREE VPN For Chrome(40K インストール):knmmpciebaoojcpjjoeonlcjacjopcpf
Red Panda Free VPN | Unlimited VPN(9K インストール):plpmggfglncceinmilojdkiijhmajkjh
Video Effects for YouTube And Audio Enhancer および Mike Adblock für Chrome | Chrome-Werbeblocker に直接リンクされており、以前悪質なものとして記録されていました。
大規模なキャンペーンの一部ではない他の単一の悪質な拡張機能があります。以下のIOCリストにすべて含めました。
より詳細な技術分析は、C&CCのペイロードと暗号化方法を含む近日中に公開されます。
どうすればよいですか?
これらの拡張機能の一部は、報告後にChrome Web Storeから既に削除されています。しかし、これは大きな「しかし」です、Chrome Web Storeから削除された拡張機能はブラウザにインストールされたままであり、自動的に削除されることはありません。したがって、組織内で永遠に存在します。これが、IOCに対して環境をチェックすることを強くお勧めする理由です。サポートが必要な場合は、こちらからお問い合わせください。
ため息… 次は何ですか?
すべてはここからの最後の月からのものです。他の多くのマーケットプレイスと同様に、Chrome Web Storeは多くのセキュリティ上の課題を導入することを犠牲にして優れた生産性値を提供します。私たちはこのようなマルウェアを毎日見ており、組織がそれを軽減するのを支援しています。セキュリティと生産性のバランスをどのように取るかと尋ねる方もいるでしょう。これを行うためにExtensionTotalを構築しました。実務家と企業の両方向けです。Chrome Web Store、VSCode、Huggingface、Homebrew、GitHub等のマーケットプレイスからチームが取得するすべてのものを発見、評価、管理するのに役立ちます。
Fortune 100s、500s、防衛技術企業に信頼されているExtensionTotalは、セキュリティプロセスを自動化し、この攻撃面を削減・バランスを取るために、可視性、ガバナンス、プロアクティブなリスクを提供します。
チャットしたい場合は、ここからお気軽にご連絡ください🤙
IOCs リスト
ドメイン:
ID:
翻訳元: https://www.koi.ai/blog/a-month-of-malware-in-the-chrome-web-store
