Chromeウェブストアで1ヶ月に見つかったマルウェアたち

Cyberhavenの事件や、300万人のユーザーが悪意あるChrome拡張機能によって被害を受けた「2025年2月」の事件だけが、Chromeウェブストアに潜むマルウェアキャンペーンだと思われるかもしれません。しかし実際には、私たちはChromeウェブストア上で毎月必ずマルウェアを発見しています。

そこで、マーケットプレイスにおけるサプライチェーン攻撃を暴くという私たちの恒例の取り組みに従い、この1ヶ月間にChromeウェブストアで見つかった内容を皆さんにご紹介したいと思います。

マルウェアが仕込まれた拡張機能45件。感染ユーザー数25万人。

本題に入る前に、記事の末尾にすべてのIOC(侵害指標)を掲載していることをお伝えしておきます。

それでは、本題に入りましょう。

正直なところ、マルウェアが見つからない月の方が心配になります

私たちの事業は、マーケットプレイス上のマルウェアやその他のトラブルから組織を守ることです。今日、Chromeウェブストア、Hugging Face、GitHub、VSCodeマーケットプレイスといったマーケットプレイスは、組織へのソフトウェア流入における最大の入口となっており、ガバナンスが効いていない場合は極めて高いリスクをはらんでいます。私たちはこうしたリスクを組織のために軽減する取り組みの一環として、これらのマーケットプレイスを継続的にスキャンし、掲載されているすべての項目のリスクを自動的に分析しています。

Chromeウェブストアもそうしたマーケットプレイスの一つであり、私たちのリスク分析を通じて、毎月数十件のマルウェア項目にフラグを立てています。

今回は、皆さんの学びとなり、次のインシデントを未然に防ぐ一助となるよう、いくつかの調査結果を共有します。

では、今月は何が見つかったのか

私たちは3つの重要なキャンペーンを発見しました。1つ目は、Google、Bing、Yahooといった主要な検索エンジンの検索結果を操作し、フィッシングサイトへ誘導する可能性があるものです。2つ目は、リモートペイロードをダウンロードしてウェブサイトに注入するもの。そして3つ目は、ブラウザのセキュリティを弱体化させ、要求に応じて悪意あるサイトへ誘導するものです。

まず1つ目は「Video Downloader」です。人気サイトから動画ファイルを保存できる、一見無害な拡張機能に見えます。

高評価、1万人のユーザー数、洗練されたデザインの裏には、3時間ごとに新しい設定を取得し、Chromeのネットワークルールを操作し、収集した情報をC2サーバーへ送り返すC2サーバーが潜んでいました。これは検索エンジンの結果を操作するキャンペーンの一部です。私たちのリスクエンジンは、悪意ある挙動を示すドメインを自動的に軸として調査を広げる仕組みになっており、これによって同一の悪意あるコードと攻撃インフラを共有する、多数の拡張機能からなる大規模なキャンペーンが明らかになりました。

👉 具体例:
Downloader For Instagram(インストール数8万件): bhfelhfpjghfmhogedjnlmdpkbhmjhlfompafndkajgkoldjbgnbikogdkljinlb (🚨 ストア上でなお公開中)
Bass Booster(インストール数1万件)
: ndhaplegimoabombidcdfogcnpmcicik
Video Downloader(インストール数1万件): kghcdbkokgjghlfeojcpeoclfnljkbdk (🚨 ストア上でなお公開中)

合計: 感染ユーザー数10万5千人。

興味深いことに、これらの拡張機能の一部では、バージョンアップの際に悪意あるコードが仕込まれていました。例えばBass Boosterはバージョン2.1までは無害でしたが、そのバージョンで悪意あるコードが混入しています。この事実は、バージョンアップデートの管理がいかに重要かを物語っています。

😅😅

次にご紹介するのは、暗号化された第2段階のペイロードをダウンロードしてローカルストレージに保存し、隠しDOM要素としてウェブサイトに注入する拡張機能群による大規模なキャンペーンです。私たちのリスクエンジンは、複数の理由からこのキャンペーンにフラグを立てましたが、最も興味深いのはコード類似性スキャナーが検知した点です。すべての拡張機能に同一の攻撃パターンが見つかりました。下記のスニペットに見られる「CEB」は、これらすべての拡張機能で使われている、同一攻撃者を示す何らかの識別子です。

👉 具体例:
Meta Pixel Debugger:
lhfgpkbdjfgdgcmpfdlcldohckepmidb
Easy Link Saver: gaphdgiciagcoikgdldobainboocpoid
DeepSeek AI | Free AI Assistant: pocfdebmmcmfanifcfeeiafokecfkikj
CreativePeek — Free tool: mblkbbabkcmjnegndgcepingkhcjabhh

最後に、同じ攻撃インフラを共有するいくつかのVPN拡張機能を発見しました。実はこの共有インフラこそが、そもそも私たちがこれらにフラグを立てるきっかけとなりました。私たちのリスクエンジンは、過去に報告された悪意ある拡張機能とそのインフラを調べ、再犯を探し出します。今回のケースでは、いくつかのVPN拡張機能を発見しましたが、そのうちの一つは今もストアで公開されており、以前報告済みのキャンペーンと同一の攻撃インフラを使用していました。これらはすべて互いに同じサーバー基盤を使用しており、以前確認済みの悪意あるCSP(コンテンツセキュリティポリシー)剥奪の手口も共通して用いています。

👉 具体例:
FVP Free Vpn Proxy(インストール数9万件)
: ebldcmdjfokdlhlldbfgljogkjkadoag
Thunder FREE VPN For Chrome(インストール数4万件): knmmpciebaoojcpjjoeonlcjacjopcpf
Red Panda Free VPN | Unlimited VPN(インストール数9千件): plpmggfglncceinmilojdkiijhmajkjh

これらは、以前から悪意あるものとして報告済みのVideo Effects for YouTube And Audio EnhancerおよびMike Adblock für Chrome | Chrome-Werbeblockerと直接つながっています。

大規模なキャンペーンに属さない、単発の悪意ある拡張機能もいくつか見つかっており、それらはすべて下記のIOCリストに含めています。

C&Cのペイロードと暗号化手法の詳細を含む、より踏み込んだ技術分析も近日中に公開予定です。

どう対処すればよいのか

これらの拡張機能の一部は、報告を受けてすでにChromeウェブストアから削除されています。しかし、ここが非常に重要な「しかし」なのですが、Chromeウェブストアから削除された拡張機能はブラウザにはインストールされたまま残り、自動的に削除されることはありません。つまり、対処しない限り組織内に永遠に居座り続けることになります。だからこそ、皆さんの環境をIOCと照合して確認することを強くお勧めします。お困りの際は、遠慮なくこちらからお問い合わせください

はぁ……この先どうなるのか

以上はすべて、直近1ヶ月間だけの話です。他の多くのマーケットプレイスと同様に、Chromeウェブストアは大きな生産性の恩恵をもたらす一方で、数多くのセキュリティ上の課題も生み出しています。私たちは日々このようなマルウェアを目にしており、組織がそれを軽減できるよう支援しています。セキュリティと生産性をどう両立させるのか、と疑問に思う方もいるでしょう。私たちはまさにそれを実務者にも企業にも実現するために、ExtensionTotalを構築しました。Chromeウェブストア、VSCode、Hugging Face、Homebrew、GitHubをはじめとするマーケットプレイスからチームが取り込むあらゆるものについて、発見・評価・ガバナンスを支援します。

フォーチュン100やフォーチュン500企業、防衛関連のテック企業からも信頼を得ているExtensionTotalは、セキュリティプロセスを自動化し、可視性、ガバナンス、そして先を見越したリスク対応を提供することで、この攻撃対象領域を縮小し、バランスの取れた状態に保ちます。

ご興味のある方は、こちらからお気軽にご連絡ください 🤙

IOCリスト

ドメイン:

ID:

翻訳元: https://www.koi.ai/blog/a-month-of-malware-in-the-chrome-web-store

ソース: koi.ai