Une nouvelle alerte de cybersécurité vise l’écosystème de Google Chrome. Des chercheurs ont identifié une campagne massive impliquant 108 extensions malveillantes capables de voler des données sensibles, notamment liées aux comptes Google et aux sessions Telegram Web. Au total, plus de 20 000 utilisateurs seraient déjà affectés.
Une campagne coordonnée basée sur une même infrastructure
Selon la société de cybersécurité Socket, toutes ces extensions communiquent avec une même infrastructure de commande et contrôle (C2). Leur objectif est clair : collecter des données personnelles et exploiter le navigateur des victimes.
Ces extensions ont été publiées sous différentes identités pour tromper les utilisateurs :
- Yana Project
- GameGen
- SideGames
- Rodeo Games
- InterAlt
Malgré cette diversité apparente, elles reposent sur un backend commun, ce qui confirme une opération coordonnée.
Des fonctionnalités malveillantes particulièrement dangereuses
Les analyses du chercheur en sécurité Kush Pandya révèlent une série de comportements extrêmement intrusifs :
Vol de données Google et accès aux comptes
- 54 extensions exploitent le protocole OAuth2 pour voler l’identité des comptes Google
- Données récupérées : email, nom complet, photo de profil, identifiant unique
Porte dérobée et contrôle du navigateur
- 45 extensions intègrent une backdoor universelle
- Ouverture automatique d’URL malveillantes dès le lancement du navigateur
Espionnage des sessions Telegram
- Exfiltration des sessions Telegram Web toutes les 15 secondes
- Possibilité de remplacer la session de la victime par celle de l’attaquant
Injection de publicités et scripts malveillants
- Injection de code JavaScript sur toutes les pages visitées
- Ajout de publicités frauduleuses, notamment liées aux jeux d’argent
- Contournement des protections de sécurité sur YouTube et TikTok
Autres comportements suspects
- Proxy des requêtes de traduction via les serveurs des attaquants
- Injection de scripts sur tous les sites visités
- Désactivation de protections comme CSP, CORS et X-Frame-Options
Des extensions déguisées pour tromper les utilisateurs
Pour passer inaperçues, ces extensions se présentent comme des outils légitimes :
- Clients Telegram multi-comptes
- Jeux (machines à sous, Keno, courses)
- Améliorateurs YouTube et TikTok
- Outils de traduction
- Utilitaires de navigation
Cette stratégie permet aux cybercriminels de toucher un large public tout en cachant leurs véritables intentions.
Des exemples d’extensions identifiées
Parmi les extensions les plus dangereuses :
- Telegram Multi-account : vole les tokens d’authentification et prend le contrôle des sessions
- Web Client for Telegram – Teleside : contourne les protections et injecte du code malveillant
- Formula Rush Racing Game : récupère les données du compte Google dès la connexion
Toutes ces extensions envoient les données vers un serveur centralisé, identifié à l’adresse IP 144.126.135[.]238.
Une origine encore floue mais des indices inquiétants
Les auteurs de cette campagne n’ont pas encore été formellement identifiés. Toutefois, l’analyse du code source révèle la présence de commentaires en langue russe, ce qui pourrait donner une piste sur l’origine des attaques.
Que faire si vous êtes concerné ?
Les experts recommandent des actions immédiates :
- Supprimer sans délai toute extension suspecte de Google Chrome
- Se déconnecter de toutes les sessions Telegram Web via l’application mobile
- Vérifier les autorisations OAuth liées à votre compte Google
- Changer vos mots de passe et activer la double authentification
Une menace croissante dans les extensions de navigateur
Cette affaire rappelle une réalité inquiétante : les extensions de navigateur, souvent perçues comme inoffensives, peuvent devenir de véritables outils d’espionnage.
Avec des milliers d’utilisateurs déjà touchés, cette campagne souligne l’importance de vérifier la fiabilité des extensions avant installation et de limiter les permissions accordées.
La vigilance reste aujourd’hui la meilleure défense face à ce type de cyberattaque.
