นักวิจัยด้านไซเบอร์จาก ExtensionTotal ออกมาเตือนว่าอาชญากรใช้ส่วนเสริม (extension) บน Google Chrome อย่างน้อย 36 ตัวในการขโมยข้อมูล ทำให้ผู้ใช้งาน 2.6 ล้านคน ตกอยู่ในความเสี่ยงข้อมูลรั่วไหล

ส่วนเสริมที่ ExtentionTotal ออกมาเตือนให้ระวัง ได้แก่

  • Web Mirror
  • ChatGPT App
  • Hi AI
  • Web3Password Manager
  • YesCaptcha assistant
  • Bookmark Favicon Changer
  • Proxy SwitchyOmega (V3)
  • GraphQL Network Inspector
  • AI Assistant
  • Bard AI chat
  • ChatGPT for Google Meet
  • Search Copilot AI Assistant for Chrome
  • TinaMind
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vidnoz Flex
  • VidHelper
  • Castorus
  • Uvoice
  • Reader Mode
  • ParrotTalks
  • Primus
  • Keyboard History Recorder
  • ChatGPT Assistant
  • Reader Mode
  • Visual Effects for Google Meet
  • AI Shop Buddy
  • Cyberhaven V3 Security Extension
  • Earny
  • Rewards Search Automator
  • Tackker
  • Sort By
  • Email Hunter
  • ChatGPT Quick Access

ทั้งนี้ มีหลายตัวที่ได้รับการแก้ไขหรือถอดจาก Chrome Store ไปแล้ว

นักวิจัยพบขบวนการนี้ในปลายเดือนธันวาคมที่ผ่านมา หลังจากที่พบว่าส่วนเสริมของ Cyberhaven สตาร์ตอัปด้านไซเบอร์ที่มีผู้ใช้ราว 400,000 คน ถูกแฮกเกอร์เข้ายึดไปก่ออาชญากรรมออนไลน์ โดยมีสาเหตุมาจากการที่ผู้ดูแลระบบของ Cyberhaven ถูกล้วงข้อมูลด้วยวิธีการฟิชชิงไปเมื่อวันที่ 24 ธันวาคม ผ่านอีเมลที่หลอกว่าส่วนเสริมของบริษัทละเมิดนโยบายของ Google

เมื่อผู้ดูแลระบบคนดังกล่าวคลิกในลิงก์ที่ส่งมากับอีเมลที่ฝังตัวเจาะ OAuth หรือระบบยืนยันตัวตนของผู้ดูแล ก็เป็นการอนุญาตให้แฮกเกอร์เข้าไปใช้งานระบบหลังบ้านของตัวส่วนเสริม ทำให้แฮกเกอร์สามารถอัปโหลดเวอร์ชันใหม่ของส่วนตัวเสริมขึ้นไปบน Web Store ของ Chrome ได้ทันที ซึ่งในส่วนเสริมก็มีการยัดไส้โค้ดที่ขโมยรหัสผ่าน คุกกี้ และข้อมูลต่าง ๆ ของผู้ใช้งาน ที่จะนำไปสู่การเข้ายึดบัญชีได้

ด้าน SquareX บริษัทให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ออกมาเตือนว่าการฝังโค้ดในส่วนเสริมเพื่อเจาะเข้าไปในบัญชีของผู้ใช้งานกำลังได้รับความนิยมขึ้นเรื่อย ๆ เพราะทีมไอทีของบริษัทต่าง ๆ ไม่สามารถควบคุมได้ว่าผู้ใช้งานติดตั้งอะไรไปบ้าง และถึงแม้ว่าจะมีการควบคุม ส่วนใหญ่ก็ไม่ได้ไปเฝ้าดูว่าตัวอัปเดตของส่วนเสริมมีปัญหาหรือไม่

SquareX ยังเสริมด้วยว่านักพัฒนาจำนวนมากง่ายต่อการตกเป็นเป้า เพราะอีเมลของพวกเขาติดอยู่บน Chrome Store สำหรับให้ผู้ใช้งานแจ้งรายงาน Bug เข้าไป