Phát hiện loạt tiện ích độc hại trên Chrome Web Store với hơn 1,7 triệu lượt cài đặt

Theo báo cáo từ Koi Security, hơn 10 tiện ích mở rộng độc hại với tổng số lượt tải về lên tới 1,7 triệu đã bị phát hiện trên Chrome Web Store. Những tiện ích này âm thầm theo dõi người dùng, đánh cắp lịch sử duyệt web và thậm chí có thể chuyển hướng người dùng đến các trang web không an toàn. Đáng chú ý, phần lớn các tiện ích độc hại này vẫn hoạt động đúng như mô tả – đóng giả là công cụ hợp pháp như bộ chọn màu, VPN, trình tăng âm lượng hay bàn phím emoji – khiến người dùng khó nhận biết rủi ro tiềm ẩn.

Các tiện ích mở rộng bị phát hiện không chỉ có nhiều đánh giá tích cực mà còn được Google xác minh (verified) và hiển thị nổi bật trên Chrome Web Store, khiến người dùng lầm tưởng về độ an toàn. Dưới đây là danh sách các tiện ích cần được gỡ bỏ ngay lập tức nếu phát hiện trong trình duyệt Chrome:

  • Color Picker, Eyedropper – Geco colorpick

  • Emoji keyboard online – copy&paste your emoji

  • Free Weather Forecast

  • Video Speed Controller – Video manager

  • Unlock Discord – VPN Proxy to Unblock Discord Anywhere

  • Dark Theme – Dark Reader for Chrome

  • Volume Max – Ultimate Sound Booster

  • Unblock TikTok – Seamless Access with One-Click Proxy

  • Unlock YouTube VPN

  • Unlock TikTok

  • Weather

Một trong số đó, Volume Max – Ultimate Sound Booster, từng bị nhóm nghiên cứu LayerX cảnh báo về nguy cơ theo dõi người dùng từ tháng trước – dù thời điểm đó chưa xác định được hành vi độc hại rõ ràng. Theo phân tích, mã độc được ẩn trong service worker (thành phần nền) của tiện ích, sử dụng API của Chrome Extension để ghi nhận URL người dùng truy cập và gửi dữ liệu cùng mã theo dõi cá nhân hóa về máy chủ từ xa.

Từ đó, máy chủ có thể phản hồi bằng một URL chuyển hướng mới – chiếm quyền điều hướng của người dùng và có thể đưa họ đến các trang web nguy hiểm, tiềm ẩn rủi ro bị tấn công mạng. Đáng chú ý, các chức năng này không có trong phiên bản đầu tiên của tiện ích mà được cài cắm thông qua các bản cập nhật sau này. Do cơ chế cập nhật tự động của Chrome, người dùng không hề được cảnh báo khi phiên bản mới chứa mã độc được cài đặt.

Một khả năng được đặt ra là các tiện ích ban đầu hợp pháp đã bị bên thứ ba xâm nhập và chèn mã độc, tuy nhiên Google hiện chưa có phản hồi chính thức từ các nhà phát triển liên quan. Không dừng lại ở Chrome, các tiện ích độc hại còn được tìm thấy trên Microsoft Edge Add-ons Store với tổng lượt tải khoảng 600.000. Như vậy, theo Koi Security, tổng cộng có hơn 2,3 triệu người dùng trên cả hai trình duyệt bị ảnh hưởng – trở thành một trong những chiến dịch tấn công trình duyệt quy mô lớn nhất được ghi nhận cho đến nay.

  • Gỡ bỏ ngay tất cả tiện ích đã liệt kê

  • Xóa dữ liệu duyệt web để loại bỏ mã theo dõi còn tồn đọng

  • Quét hệ thống để phát hiện phần mềm độc hại tiềm ẩn

  • Theo dõi hoạt động tài khoản để phát hiện sớm dấu hiệu bất thường

Theo: Bleeping Computer