Sicherheitsforscher berichten, dass eine lang andauernde Kampagne mit bösartigen Browser‑Erweiterungen rund 4,3 Millionen Nutzer betroffen hat und Hintertüren sowie Spyware einsetzte, um Zugangsdaten zu erbeuten und Daten zu exfiltrieren. Obwohl die Stores viele der beanstandeten Add‑ons entfernt haben, betonen Forscherwarnungen, dass die Infrastruktur der Angreifer und bereits installierte Persistenz weiterhin Risiken darstellen.

Eine weit verbreitete Operation zur Verteilung bösartiger Chrome‑ und Edge‑Erweiterungen hat Berichten aus dem Bereich Cybersicherheit zufolge schätzungsweise 4,3 Millionen Nutzer infiziert. Die Erweiterungen gaben sich als harmlose Dienstprogramme, Wallets oder Produktivitätstools aus, lieferten jedoch Hintertüren, Keylogger und Spionagesoftware, die gespeicherte Passwörter, Cookies und Formular‑Daten exfiltrieren konnten. Forscher fanden Command‑and‑Control‑Infrastruktur, die Updates und zusätzliche Nutzlasten ausgab und so seitliche Eskalation und Persistenz auf kompromittierten Hosts ermöglichte. Große Erweiterungs‑Stores entfernten zahlreiche markierte Add‑ons, doch Vorfallreaktionsteams warnen, dass viele Nutzer weiterhin bösartigen Code installiert haben und dass Angreifer‑Backends weiterhin aktiv sind, um Daten von infizierten Installationen zu sammeln. Empfohlene Gegenmaßnahmen umfassen die Überprüfung installierter Erweiterungen, das Entfernen unzuverlässiger Add‑ons, das Ändern offengelegter Zugangsdaten sowie das Durchführen von Endpunkt‑Scans und Bereinigungen. Organisationen werden aufgefordert, Erweiterungs‑Whitelists durchzusetzen, Browser‑Telemetrie zu überwachen und Nutzer über die Risiken der Installation nicht geprüfter Plugins aufzuklären. Der Vorfall macht Lieferketten‑ und Distributionsrisiken in Browser‑Ökosystemen deutlich, in denen scheinbar kleine Add‑ons zu groß angelegten Spionage‑ und Betrugsplattformen werden können.