In de schijnbaar betrouwbare wereld van browser-extensies zijn twee nieuwe malware-campagnes blootgelegd die aantonen hoe gevaarlijk het extensie-ecosysteem van Google Chrome kan zijn. Onderzoek door cybersecurity-teams heeft aangetoond dat Chrome-extensies niet alleen inloggegevens kunnen afvangen, maar óók vertrouwelijke AI-chatgesprekken van gebruikers – waaronder die met ChatGPT en DeepSeek – exfiltreren naar kwaadwillende servers.
Malicious Chrome extensions with 900,000 users steal AI chatsA new campaign compromised the privacy of over 900,000 users by exfiltrating ChatGPT and DeepSeek chats via two malicious Chrome extensions. |
Phantom Shuttle: Jarenlang ongemerkt gegevens onderschept
Onderzoekers ontdekten twee extensies onder de naam Phantom Shuttle die zich voordeden als proxy-tools voor netwerk-testen en verkeer-omleiding. Deze extensies stonden op de officiële Chrome Web Store en werden gepresenteerd als nuttige hulpprogramma’s, maar verborgen achter de schermen een man-in-the-middle-functionaliteit. In plaats van alleen het verkeer te testen of te versnellen, leidde de software gebruikersverkeer via servers van aanvallers, waardoor gevoelige informatie zoals gebruikersnamen, wachtwoorden, betaalgegevens, sessie-cookies en API-tokens gevangen werden.
Malicious Google Chrome extensions stole data from over 170 sitesTwo Chrome extensions were found eavesdropping on people's browsing |
Beide extensies waren minstens sinds 2017 actief en hadden prijsmodellen variërend van goedkoop tot betaalde abonnementen – wat het vertrouwen bij gebruikers vergrootte. Zodra geïnstalleerd, kon de malware automatisch de proxy-instellingen in Chrome aanpassen om al het HTTP-verkeer via een kwaadaardig netwerk te sturen.
AI-thema extensies stelen ChatGPT- en DeepSeek-gesprekken
In een tweede, brede campagne ontdekten onderzoekers van OX Security twee Chrome-extensies die de browser activiteit van gebruikers monitoren en gesprekken met AI-chatdiensten zoals ChatGPT en DeepSeek stelen, samen met volledige URL’s van geopende tabbladen en andere browse-data.
|
Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 UsersSecurity researchers found two Chrome extensions with 900,000 installs secretly collecting ChatGPT and DeepSeek chats and browsing data. |
De extensies Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI (±600 .000 gebruikers) en AI Sidebar with Deepseek, ChatGPT, Claude and more (±300 .000 gebruikers) imiteerden legitieme AI-tools. Eén daarvan droeg zelfs een Google “Featured”-badge, wat suggereerde dat het product veilig was – een misleidende indicatie die veel gebruikers deed vertrouwen op de extensie.
Zodra geïnstalleerd en geactiveerd, vroegen deze extensies toestemming voor zogenaamd “anonieme analytics”. In werkelijkheid monitoren ze constant open tabbladen, detecteren wanneer een gebruiker een AI-chat opent, extraheren de volledige inhoud van de conversaties en sturen deze gegevens door naar een externe command-and-control-server – vaak elke 30 minuten.
Gevolgen voor privacy en bedrijfsveiligheid
De impact van deze campagnes reikt verder dan alleen individuele privacy: gestolen AI-gesprekken kunnen gevoelige zakelijke informatie, strategieën, intellectueel eigendom, persoonlijke documenten en identificerende gegevens onthullen. Deze data kan worden misbruikt voor corporate espionage, identiteitsdiefstal, gerichte phishing-campagnes of zelfs verkocht op ondergrondse marktplaatsen.
Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users | Nicholas Morpus"This data can be weaponized for corporate espionage, identity theft, targeted phishing campaigns, or sold on underground forums," OX Security said. "Organizations whose employees installed these extensions may have unknowingly exposed intellectual property, customer data, and confidential business information." Turns out traditional browser add-ons are scooping up prompt information without the user’s knowledge. The threat landscape continues to grow. https://lnkd.in/gYk42e7t |
Bovendien toont het feit dat deze extensies via de officiële winkel werden verspreid, duidelijk aan dat de huidige controle- en detectiemechanismen tekortschieten, ondanks dat Google maatregelen neemt om schadelijke add-ons te verwijderen zodra ze worden ontdekt.
Wat gebruikers nu moeten doen
- Verwijder onmiddellijk verdachte extensies via chrome://extensions als je ze herkent of geen duidelijk nut ziet.
- Controleer machtigingen: extensies die toegang vragen tot alle websitegegevens of AI-chats moeten met argwaan worden bekeken.
- Installeer alleen extensies van bekende, gerenommeerde ontwikkelaars en lees recensies kritisch.
- Overweeg het gebruik van security-tools en antivirussoftware om eventuele resterende malware te detecteren.
Hoewel browser-extensies ontworpen zijn om gebruikerservaring te verbeteren, blijkt uit deze campagnes dat ze ook een krachtig wapen kunnen zijn voor cybercriminelen – vooral als ze misleidende functionaliteit combineren met geavanceerde data-exfiltratie-technieken.
