Egy több mint 100 000 letöltéssel rendelkező színválasztó Chrome-bővítmény kémprogramot tartalmaz, amely minden egyes új weboldal meglátogatásakor eltéríti a böngészési munkamenetet, és rosszindulatú oldalakra irányíthatja át a felhasználót.
A Google egy, korábban megbízhatónak tartott Chrome-bővítményen keresztül akaratlanul is terjesztett egy fejlett kémprogramot. A „Color Picker, Eyedropper — Geco colorpick” nevű bővítmény évekig legitim eszköz volt, amely lehetővé tette a weboldalakon szereplő színek egyszerű kiválasztását. Azonban 2025. június 27-én egy frissítéssel kártékony kód került bele – állítja Idan Dardikman, a Koi Security szakértője a Dark Reading-nek adott nyilatkozatában.
A bővítmény továbbra is elérhető a Chrome Web Store-ban, „Google által ellenőrzött” jelzéssel, és kiemelt ajánlásként szerepel, ami még inkább megtévesztheti a felhasználókat. A hivatalos adatlap szerint a bővítmény nem gyűjt adatokat, azonban a biztonsági kutatók szerint ez egyértelműen hamis állítás.
Dardikman szerint a kémprogram egy összetett munkamenet-eltérítési technikát alkalmaz: minden alkalommal aktiválódik, amikor a felhasználó új oldalra lép. A háttérben futó szolgáltatás figyeli az összes böngészési tevékenységet, és kapcsolatban marad egy irányítószerverrel (C2), amely parancsokat küldhet a felhasználó gépére – például átirányításokat végrehajtva rosszindulatú oldalakra.
A támadás alatt a bővítmény a megszokott módon működik, professzionális felhasználói felületet kínál, színkódokat ad HEX és RGB formátumban, 9×9 pixeles nézetet biztosít, és gyorsbillentyűket is támogat. Ez a látszólagos funkcionalitás elfedi a háttérben zajló megfigyelést.
A Koi Security már értesítette a Google-t, de a cikk írásakor a bővítmény még mindig elérhető az áruházban. A Google nem reagált a megkeresésekre. Bár a vállalat már több hasonlóan problémás bővítményt eltávolított a hivatalos Chrome Web Store-ból, ezek együttes letöltésszáma meghaladja az 1,7 milliót – így sok esetben a beavatkozás már későn érkezett.
Mit tehetnek az érintettek?
A szakértők az alábbiakat javasolják azoknak, akik telepítették ezt a bővítményt:
- Azonnal távolítsák el a bővítményt a Chrome-ból.
- Töröljék a böngészési adatokat, hogy eltávolítsák az esetleges nyomkövetési azonosítókat.
- Futtassanak teljes rendszerellenőrzést egy megbízható vírusirtóval.
- Figyeljék fiókjaikat, különösen, ha érzékeny oldalakra látogattak.
- Ellenőrizzék a többi telepített bővítményt is, nem tartalmaznak-e hasonlóan gyanús működést.
Böngészőbővítmények: rejtett veszélyek
Ez az eset ismét rámutat arra, hogy még a megbízhatónak tűnő bővítmények is könnyen rosszindulatúvá válhatnak. Egy 2024-es kutatás szerint a böngészőbővítmények több mint 50%-a komoly biztonsági kockázatot jelent. Ez nemcsak a Chrome-ot, hanem a Firefoxot és más platformokat (pl. WordPress) is érinti.
A szakértők hangsúlyozzák: szervezeteknek és egyéni felhasználóknak is szigorúbb ellenőrzést kell bevezetniük a böngészőbővítmények használatával kapcsolatban, függetlenül azok népszerűségétől vagy Google által történő jóváhagyottságától. – írja a Dark Reading.
Kép forrása: Filerev