ChatGPTの生産性向上ツールを装った、悪意あるChromeブラウザ拡張機能16件による組織的なキャンペーン。
AIとのやり取りを強化するとして販売されているこれらのアドオンは、密かにユーザーのChatGPTセッショントークンを盗み出し、会話履歴やGoogle DriveやGitHubといった接続済みデータソースを含む、アカウントへの完全なアクセス権を攻撃者に与える。
同一の脅威アクターが開発したこれらの拡張機能は、AIツール需要の急増に付け込んでいる。
正規のChatGPT強化ツールがChromeウェブストアに溢れる中、これらの偽物は違和感なく紛れ込み、Chromeのベストプラクティスに準拠していると主張する「注目」バッジを誇示するものさえある。
これまでに約900件のダウンロードを記録しており、GhostPosterやRolyPoly VPNといった過去のキャンペーンと比べれば控えめな数字だ。
LayerXは、これが爆発的に拡大する可能性があると警告し、臨界点に達する前に企業がサードパーティのAI拡張機能を制限するよう促している。
これらの拡張機能は、chatgpt.comにコンテンツスクリプトを注入することで、ChatGPTの認証済みWebアプリを標的にする。
Chromeの隔離環境ではなくブラウザのMAIN JavaScriptワールドで動作するため、ページのランタイムにネイティブにアクセスできる。
これによりwindow.fetchのような重要APIをフックし、外向きリクエストを傍受できる。authorizationヘッダーを含むリクエストが現れると、スクリプトがセッショントークンを抽出する。
続いて二次スクリプトが、拡張機能のメタデータ、利用テレメトリ、バックエンドトークンとともに、共有のリモートサーバーへそれを持ち出す。
攻撃者は盗んだトークンを用いて永続的になりすましを行い、警告を発生させることなくチャット、メタデータ、連携サービスを閲覧する。
この手法はChatGPT自体の脆弱性を突くのではなく、セッションハイジャックに依存している。単一ページアプリへの深い統合、昇格した権限、そしてユーザーの信頼を必要とするAI拡張機能のリスクを浮き彫りにする。
生産性向上のためのAIツールが増殖するにつれ、ブラウザの攻撃対象領域は拡大し、従来のセキュリティでは見えない機密性の高いインメモリデータを観測できるようになる。
LayerXは、AI駆動のコード類似性分析により早期にこのキャンペーンを検知し、共通の難読化(minify)されたコードベース、同一のアイコン、一括アップロード、そして亜種全体で同じバックエンドドメインを突き止めた。
LayerXによれば、これにより「ユーザーと同等のアカウントレベルのアクセス」が付与される。トークンに加え、漏えいデータはユーザープロファイリングやセッション相関にも利用可能だ。ある亜種は完全な傍受を省くものの、同様のパターンを共有している。
主にChromeウェブストア(16件中15件)で配布され、1件はMicrosoft Edgeアドオンにも出現した。公開時点でいずれも配信されたままだ。
翻訳元: https://cyberpress.org/16-malicious-chatgpt-extensions-exposed/