Weaponized Chrome Extension from Webstore With Verification Badge Infected 1.7 Million Users
2025/07/08 CyberSecurityNews — Chrome ユーザー 170万人以上を感染させた、高度なマルウェア攻撃キャンペーンは、正当に見える 11個のブラウザ・エクステンションを配布するものだった。それらの、すべてのエクステンションは、Google による認証済みバッジを取得し、Chrome Web Store において注目の広告として掲載されていた。このインシデントは、最大級のブラウザ・ハイジャック攻撃であり、ユーザーが安全なエクステンションを見分けるための信頼シグナルが、悪用されたことになる。なお、この “Malicious11” キャンペーンを発見したのは、Koi Security のサイバー・セキュリティ研究者たちである。
完全なトロイの木馬作戦
それらの悪意のエクステンションが装っていたのは、絵文字キーボード/天気予報/動画再生速度コントローラ/Discord や TikTok 用の VPN プロキシ/ダークテーマ/音量ブースタ/YouTube ブロック解除ツールなどの、さまざまなカテゴリで人気を博す生産性向上ツールやエンターテイメント・ツールである。
このキャンペーンが、特に巧妙だったのは、各エクステンションが約束された機能を提供しながら、それと同時に、高度な監視機構およびハイジャック機構を実装していた点にある。
この Koi Security による調査は、10万回以上もインストールされ、800件以上のレビューを持つエクステンションである “Color Picker, Eyedropper — Geco colorpick” の分析から始まった。
このエクステンションは、完全に合法かつ検証済みに見えるステータスを有していたが、実際にはユーザーのブラウザを秘密裏に乗っ取り、すべての Web サイトへのユーザー・アクセスを追跡し、永続的な Command & Control (C&C) バックドアを維持するものだった。
この悪意の最大のポイントは、マルウェアの導入方法にある。それぞれのエクステンションは、当初から悪意のものではなく、長年にわたり合法的に動作していたが、バージョンのアップデートにより悪意のものへと変化してきた。
170万人以上のユーザーに対して、自動アップデートによりマルウェアが実装されるまでの数年間は、各エクステンションのコードベースはクリーンな状態を維持していた。
研究者たちは、「Google のブラウザ・エクステンションのアップデート処理方法により、それらのアップデートは自動的にサイレント・インストールされる。その当初は、フィッシングやソーシャル・エンジニアリングは行われず、信頼されるエクステンションが静かにバージョンアップされたに過ぎない」と指摘している。
高度なブラウザ・ハイジャック
しかし、マルウェア化したエクステンションは、ユーザーが新しいページに移動するたびに起動するという、高度なブラウザ・ハイジャック機構を実装していた。
各エクステンションのバックグラウンド・サービス・ワーカには、すべてのタブ・アクティビティを監視し、キャプチャした URL と固有のトラッキング ID を、リモート・サーバへと送信するコードが隠されていた。
それにより、大規模かつ永続的な中間者攻撃の能力が、いつでも引き出せる状況が形成されていた。
たとえば、Zoom ミーティングの招待状をクリックしたユーザーが、重要なアップデートのダウンロードを促す偽ページへとリダイレクトされる可能性がある。また、バンキング・サービス中のセッションを傍受されたユーザーが、攻撃者のサーバにホストされた偽ページへと転送される可能性がある。それらの偽ページは、ピクセル単位で一致する精巧なものであるという。
この Malicious11 キャンペーンが浮き彫りにするのは、マーケット・プレイスにおけるセキュリティの体系的な欠陥である。Google の検証プロセスでは、それらの 11種類のエクステンションに含まれる高度なマルウェアを検出できず、逆に認証バッジと広告を通じて、それらを宣伝するという状況にあった。
つまり、攻撃者が成功させたのは、ユーザーが信頼の根拠として依存するシグナルである、検証バッジ/インストール数/広告表示/正規の運用年数/肯定的なレビューなどの悪用である。
緩和策
ユーザーにとって必要なことは、問題のあるエクステンションの速やかな削除/ブラウザ・データの消去/保存されているトラッキング識別子の除去/システム全体に対するマルウェア・スキャンの実行/アカウントにおける不審な活動の監視である。
脅威アクターが達成したのは、個別の攻撃に留まるものではなく、アクティブ化まで数年間にわたり潜伏できる、包括的なインフラの構築である。このインシデントが浮き彫りにするのは、マーケット・プレイスのセキュリティ機構に対する、緊急かつ構造的な改善の必要性である。
このキャンペーンが示すのは、ブラウザ・エクステンションに関するセキュリティの転換点であり、また、現行のマーケット・プレイスにおけるセキュリティ・モデルが根本的に破綻していることである。
信頼できると思っていた Chrome エクステンションが、マルウェアへと変貌したという、ユーザーとしては対処しようのないインシデントが発生しているようです。この記事は、現行のマーケット・プレイスにおけるセキュリティ・モデルが根本的に破綻していると、指摘しています。昨日となる 2025/07/07 には、「Firefox の悪意のエクステンション8件:OAuth Token/Password を盗んでユーザーを監視」という記事をポストしています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.