Ancaman terbesar dari temuan Socket bukan hanya jumlahnya yang mencapai 108 ekstensi Chrome, melainkan cara semuanya terhubung ke satu infrastruktur kendali yang sama. Pola ini membuat aktivitas yang semula tampak seperti kumpulan ekstensi terpisah justru terlihat sebagai operasi terkoordinasi yang berisiko mencuri data pengguna secara luas.
Lebih dari 20.000 pengguna disebut sudah memasang ekstensi berbahaya itu ketika temuan dipublikasikan. Dari sana, ekstensi tersebut diduga dipakai untuk mengirim kredensial yang dicuri, identitas pengguna, dan riwayat penjelajahan ke server yang dikendalikan operator yang sama.
Satu jaringan, banyak penyamaran
Peneliti keamanan Socket, Kush Pandya, menjelaskan bahwa seluruh ekstensi itu tersambung ke pusat kendali yang identik. Artinya, meski tampil dengan nama dan fungsi yang berbeda, perilakunya mengarah pada tujuan yang sama dan tidak berjalan sebagai insiden acak yang berdiri sendiri.
Ratusan ekstensi tersebut datang dari lima akun pengembang, yaitu GameGen, InterAlt, SideGames, Rodeo Games, dan Yana Project. Jejak distribusi seperti ini memperlihatkan bagaimana pelaku bisa menyebarkan banyak ekstensi sekaligus tanpa harus menampilkannya sebagai satu paket yang mencurigakan.
Target pertama: identitas dan sesi akun
Sebanyak 54 ekstensi di dalam kelompok itu diketahui dirancang untuk mencuri identitas akun Google melalui protokol OAuth2. Dengan cara ini, pelaku berpotensi mendapatkan alamat surel, nama lengkap, dan foto profil pengguna.
Socket juga menemukan dua ekstensi yang berkaitan dengan Telegram, yaitu Telegram Multi-account dan Web Client for Telegram – Teleside. Keduanya disebut mampu mengambil sesi aktif Telegram Web, sehingga akun pengguna dapat dikuasai tanpa harus melalui proses masuk ulang secara langsung.
Serangan seperti ini berbahaya karena ekstensi browser sering dianggap sebagai alat bantu rutin. Saat sebuah ekstensi sudah menyentuh sesi login, pelaku dapat bergerak lebih jauh daripada sekadar mengintip data dasar.
Backdoor yang disamarkan sebagai alat biasa
Selain pencurian identitas, ada 45 ekstensi lain yang disisipi universal backdoor. Fungsinya memungkinkan pelaku membuka tautan URL apa pun secara otomatis ketika browser dijalankan.
Kemampuan itu memberi ruang bagi operator untuk mengarahkan peramban ke situs tertentu tanpa sepengetahuan pengguna. Agar tidak memicu kecurigaan, ekstensi-ekstensi tersebut dibuat menyerupai alat yang terlihat wajar.
Beberapa di antaranya menyamar sebagai klien bilah sisi Telegram, gim slot dan Keno, serta alat pengoptimal untuk YouTube dan TikTok. Penyamaran semacam ini kerap efektif karena pengguna cenderung percaya pada nama dan tampilan yang tampak normal.
Iklan judi disisipkan lewat celah Chrome
Ancaman lain ditemukan pada lima ekstensi yang memanfaatkan API declarativeNetRequest milik Chrome. Teknik ini dipakai untuk menghapus tajuk keamanan dari situs target, sehingga iklan judi lebih mudah disuntikkan ke platform video populer.
Temuan itu menunjukkan bahwa fungsi berbahaya ekstensi tidak berhenti pada pengambilan data. Ekstensi juga bisa dipakai untuk memanipulasi lalu lintas web dan menyisipkan konten yang tidak diinginkan ke halaman yang sering diakses pengguna.
Petunjuk awal dari kode dan langkah yang diambil
Identitas pelaku belum dipastikan, namun analisis kode sumber menemukan komentar berbahasa Rusia pada beberapa bagian program. Petunjuk itu menjadi salah satu jejak awal yang membantu penelusuran kampanye tersebut.
Socket mengatakan telah melaporkan temuan ini ke Google agar segera ditindaklanjuti. Meski begitu, saat laporan diterbitkan, sejumlah ekstensi masih terpantau belum sepenuhnya dihapus dari Chrome Web Store.
Pengguna yang pernah memasang salah satu ekstensi tersebut diminta segera menghapusnya dari browser. Pengguna Telegram Web juga disarankan keluar dari semua sesi melalui aplikasi seluler agar akun tidak tetap dikuasai pihak lain.
Source: teknologi.bisnis.com