У Chrome виявили щонайменше 16 шкідливих розширень, які маскувалися під інструменти для покращення ChatGPT і крали дані доступу до облікових записів користувачів. Про це повідомляє Cyber Security News. Розповідаємо деталі.
Що сталося
Дослідники з кібербезпеки зафіксували хакерську атаку проти користувачів ChatGPT, яка використовує шахрайські розширення для браузера Chrome. Йдеться щонайменше про 16 шкідливих розширень, замаскованих під інструменти для підвищення продуктивності та покращення роботи з ChatGPT. Усі вони поширювалися через офіційний Chrome Web Store та мали переконливі назви й оформлення, схожі на легітимні застосунки.
Аналітики LayerX Research встановили, що ці розширення містять майже ідентичний шкідливий код, що свідчить про єдиного оператора кампанії. Основна мета — крадіжка токенів автентифікації сеансу ChatGPT. Після встановлення розширення впроваджують код на сторінки, де користувач взаємодіє з ChatGPT, і перехоплюють мережеві запити, зокрема ті, що містять заголовки авторизації.
Отримані токени сеансу передаються на сервери зловмисників. Це дає їм змогу отримати повний доступ до облікових записів жертв без зламу паролів — включно з історією розмов, збереженими даними та підключеними сервісами на кшталт «Google Диску», Slack або GitHub. Через те, що токени забезпечують доступ на рівні активного сеансу, традиційні засоби захисту часто не фіксують компрометацію.
Окрім токенів, розширення збирають додаткові технічні дані — зокрема метадані та телеметрію використання. Це дозволяє зловмисникам зберігати тривалий доступ до облікових записів і аналізувати поведінку користувачів. За оцінками дослідників, ці розширення встановили близько 900 разів, і кількість заражень може зростати на тлі популярності браузерних інструментів на базі штучного інтелекту.