Estensioni Chrome e Edge spiano 2 milioni di utenti

Notizie
Di Pubblicato

Scoperta una rete di add-on truffaldini: ecco come proteggersi subito.

Google Chrome app is seen on an iPhone next to Edge and other web browser apps. Microsoft is using new prompts in Edge to try and stop users from downloading Chrome.
(Immagine:: Tada Images / Shutterstock)

Una nuova indagine condotta da Koi Security ha portato alla luce un allarmante attacco alla supply chain che coinvolge numerose estensioni per Google Chrome e Microsoft Edge, tra cui prodotti molto popolari. Milioni di utenti potrebbero essere stati spiati a loro insaputa.

L’allarme è scattato quando i ricercatori hanno analizzato l’estensione apparentemente innocua “Color Picker, Eyedropper — Geco colorpick”, uno strumento per copiare rapidamente i codici colore da qualsiasi punto del browser. Nonostante migliaia di download e recensioni positive, l’add-on nascondeva un comportamento sospetto: intercettava le attività di navigazione, tracciava i siti visitati e inviava dati a un server C2 esterno.

Ecco come proteggersi

La campagna, denominata Operation RedDirection, ha compromesso i dati di oltre 2,3 milioni di utenti attraverso 18 estensioni malevole per Google Chrome e Microsoft Edge. L’indagine, condotta da Koi Security, è partita dall’analisi di un’estensione apparentemente innocua chiamata “Color Picker, Eyedropper — Geco colorpick”. Dietro la funzione di selezione colore, l’add-on monitorava la navigazione degli utenti e comunicava con un’infrastruttura remota di tipo C2.

Approfondendo l’indagine, i ricercatori hanno scoperto un’intera rete di estensioni simili, tra cui VPN, sblocca-siti, plugin meteo e pacchetti emoji, tutte compromesse allo stesso modo. In origine si trattava di strumenti legittimi, poi probabilmente hackerati lungo la catena di distribuzione. Alcuni add-on erano perfino in primo piano nello store ufficiale di Chrome, con centinaia di recensioni positive.

Molti sono stati rimossi, ma secondo BleepingComputer “diversi restano disponibili”, probabilmente attraverso store alternativi o siti di terze parti. Chi ha utilizzato una delle estensioni coinvolte dovrebbe agire subito: rimuoverla, cancellare i dati di navigazione, eseguire una scansione antivirus aggiornata, e soprattutto sostituire tutte le password salvate nel browser, insieme a qualsiasi altro dato sensibile in auto-compilazione.

Data la frequenza crescente delle violazioni, è fondamentale controllare se le proprie credenziali siano già finite in qualche leak tramite strumenti come HaveIBeenPwned?. Oltre a considerare l’uso di software per la protezione dell’identità, è importante prestare attenzione a qualsiasi comunicazione sospetta, verificare sempre l’attendibilità di email e messaggi ricevuti, e non cliccare mai su link non sicuri.

Via BleepingComputer

Patrizio Coccia

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.