正規 VPN を装う Phantom Shuttle Chrome エクステンション：ユーザー・トラフィックから認証情報を窃取

Malicious Chrome Extensions as VPN Intercept User Traffic to Steal Credentials

2025/12/23 CyberSecurityNews — Phantom Shuttle と命名された 2 つの悪意の Chrome エクステンションが、正規の VPN サービスを装いながら数千人のユーザーを欺き、Web トラフィックを密かに傍受している。これにより窃取されるのは機密性の高いログイン情報である。これらの悪質なエクステンションは 2017年から活動しており、Chrome Web ストアを通じて 2,180 人以上のユーザーに配布されてきた。現在も検知されないまま、動作を継続している可能性が高い。

この攻撃の背後にいる脅威アクターは、”theknewone.com@gmail[.]com” というメールアドレスを使用して、異なる外観と同一の機能を持つ、２種類のエクステンション亜種を公開している。

すべてのオンライン活動を監視し、攻撃者が管理するサーバに認証情報を継続的に送信する、悪意のエクステンションが実行されていることに、ユーザーは気付いていない。これらのエクステンションは、中国の開発者や貿易関係者向けに設計された、複数の拠点でのネットワーク速度テストプラグイン (multi-location network speed testing plugins) として宣伝されている。

Alipay／WeChat Pay などの正規の支払い方法を通じて、ユーザーが購入するのは 9.9 元／95.9 元 (約 $1.40／$13.50) の範囲のサブスクリプションである。それらのユーザーは、広告どおりに機能しているように見えるプロキシ・サービスを受け取り、実際のレイテンシ・テストを実行して接続状況を表示できる。しかし、この商業的な見せかけは、バックグラウンドで進行する深刻な悪意の活動を隠蔽するものである。

Socket.dev のアナリストたちが特定したのは、これらの悪意のエクステンションが、高度な認証情報注入メカニズムなどを用いて Web トラフィックを完全に傍受していることだ。これらのエクステンションは、すべての Web サイトにおけるすべての HTTP 認証リクエストを自動的に傍受し、被害者が気付かないうちに攻撃者が用意した固定の認証情報 (ユーザー名: topfany／パスワード: 963852wei) を挿入する。これにより攻撃者は、すべてのブラウジング・トラフィックを独自のプロキシ・サーバにリダイレクトし、実質的に中間者攻撃を実行できるようになる。

認証ハイジャックのメカニズム

このエクステンションにバンドルされた、改変済み JavaScript ライブラリ (jquery-1.12.2.min.js／scripts.js) 内に、悪意のコードが隠されている。これらのエクステンションが独自の文字インデックス・エンコード方式を用いて、ハードコードされたプロキシ認証情報を難読化し、セキュリティ分析による検出を困難にしていることを、研究者たちは発見した。

このコードは chrome.webRequest.onAuthRequired にリスナーを登録し、ユーザーにプロンプトが表示される前に認証チャレンジを傍受する。リスナーがトリガーされると、ハードコードされた認証情報を用いて asyncBlocking モードで自動応答し、ユーザーに介入の機会を与えることなく即座に処理が行われる。

このエクステンションは “phantomshuttle.space” に配置された C2 サーバとの間で 60 秒間隔でのハートビート通信を維持しながら、ユーザー・データを継続的に窃取する。ハートビートの送信および VIP ステータス確認のたびに、盗み出されたユーザーのメールアドレスとパスワードが、平文で攻撃者のインフラへと、このエクステンションにより送信される。アクティブなユーザーに対しては、この通信が５分ごとに発生する。

このエクステンションは、2025年12月23日時点でも引き続き利用可能である。Google Chrome Web Store のセキュリティ・チームに対して、Socket.dev は削除リクエストを提出している。これらのエクステンションをインストールしたユーザーは、直ちにアンインストールを実施し、ブラウザで使用しているすべてのパスワードを変更する必要がある。

Phantom Shuttle という悪意のエクステンションは、一見すると便利なツールとして正常に動作しながら、その裏側でブラウザの通信を制御するものです。特に、Web サイトへのログイン時に行われる認証のやり取りを、ユーザーに通知することなく自動的に書き換えてしまう仕組みが危険です。正規のライブラリの中に巧妙に悪意のコードを隠し、さらにその内容を難読化していたことも、長期間にわたって検知を免れてきた大きな要因です。信頼できるストアで配布されているツールであっても、通信を傍受できるような強力な権限を求めるものには、慎重な確認が必要となります。よろしければ、Extension での検索結果も、ご参照ください。