Des chercheurs en sécurité signalent qu'une campagne de longue durée utilisant des extensions de navigateur malveillantes a touché environ 4,3 millions d'utilisateurs, déployant des portes dérobées et des logiciels espions pour récolter des identifiants et exfiltrer des données. Bien que les boutiques aient supprimé de nombreux modules complémentaires incriminés, les avertissements des chercheurs soulignent que l'infrastructure des attaquants et la persistance installée demeurent des risques.

Une vaste opération distribuant des extensions malveillantes pour Chrome et Edge aurait infecté environ 4,3 millions d'utilisateurs, selon des rapports de cybersécurité. Les extensions se faisaient passer pour des utilitaires bénins, des portefeuilles ou des outils de productivité tout en livrant des portes dérobées, des enregistreurs de frappe et des logiciels espions capables d'exfiltrer les mots de passe enregistrés, les cookies et les données de formulaires. Les chercheurs ont trouvé une infrastructure de commande et de contrôle qui émettait des mises à jour et des charges utiles supplémentaires, permettant une escalade latérale et une persistance sur les hôtes compromis. Les principales vitrines d'extensions ont supprimé de nombreux modules signalés, mais les intervenants en réponse aux incidents avertissent que de nombreux utilisateurs ont encore du code malveillant installé et que les backends des attaquants restent opérationnels pour récolter des données depuis les installations infectées. Les mesures d'atténuation recommandées incluent l'audit des extensions installées, la suppression des modules non fiables, la rotation des identifiants exposés et l'exécution d'analyses et de remédiations sur les endpoints. Il est conseillé aux organisations d'appliquer des listes d'autorisation pour les extensions, de déployer une surveillance télémétrique des navigateurs et de sensibiliser les utilisateurs aux risques liés à l'installation de plugins non vérifiés. L'incident met en lumière les risques liés à la chaîne d'approvisionnement et à la distribution dans les écosystèmes de navigateurs, où des extensions apparemment mineures peuvent devenir des plates-formes d'espionnage et de fraude à grande échelle.