Lorsque la société Socket a publié une analyse technique de 108 extensions malveillantes pour Chrome, ce qui a le plus surpris n'était pas le simple fait de leur existence, mais plutôt la sophistication de l'infrastructure qui les soutient. Ce ne sont pas des applications « malveillantes » isolées — c'est une campagne coordonnée avec un serveur de commande centralisé unique, une monétisation par revente, et, à en juger par le code, des auteurs russophones.
Trois attaques différentes dans un seul paquet
Le chercheur Socket Kush Pandhya a découvert que 54 extensions volent le jeton OAuth2 de Google au moment de la connexion au compte et envoient le profil utilisateur au serveur de l'attaquant. Encore 45 extensions contiennent une porte dérobée universelle : dès que le navigateur démarre, elles peuvent ouvrir n'importe quelle URL à l'insu de l'utilisateur.
Le cas le plus grave concerne l'extension Telegram Multi-account. Selon Cybernews citant le rapport Socket, elle lisait la session Telegram Web active toutes les 15 secondes et l'envoyait à un serveur contrôlé par l'attaquant. Cela suffisait pour obtenir un accès complet aux conversations et aux contacts — sans mot de passe et sans contourner l'authentification à deux facteurs.
« Les 108 extensions acheminent toutes les identifiants volés, les identifiants utilisateurs et les données de navigation vers des serveurs contrôlés par un seul opérateur. »
— Kush Pandhya, chercheur Socket
Cinq « différents » développeurs — une seule main
Les extensions ont été publiées sous cinq identifiants d'éditeur distincts : Yana Project, GameGen, SideGames, Rodeo Games et InterAlt. Le camouflage sous différents auteurs est une technique courante qui complique la détection des clusters par la réputation du compte. Cependant, comme le note BleepingComputer, tout le trafic était acheminé vers un seul serveur VPS Contabo avec plusieurs sous-domaines pour différentes fonctions : collecte des sessions, exécution des commandes, monétisation.
C'est précisément la monétisation qui est l'aspect le plus préoccupant. L'infrastructure soutient un modèle Malware-as-a-Service (MaaS) : les données volées et les sessions actives pouvaient être revendues à des tiers. Dans le code source, Socket a trouvé des commentaires en russe — notamment dans la logique d'authentification et de vol de sessions.
Comment cela a-t-il passé la vérification de Google
Cinq extensions utilisaient l'API Chrome declarativeNetRequest pour supprimer les en-têtes de sécurité (Content Security Policy, X-Frame-Options, CORS) avant le chargement de la page. Cela permettait d'injecter des superpositions publicitaires et des bannières de jeux d'argent même sur YouTube et TikTok. La plupart des extensions exécutaient réellement la fonction annoncée — jeux, traducteur, client Telegram — ce qui les rendait difficiles à distinguer des versions légitimes.
Au total, les extensions ont été installées environ 20 000 fois. L'extension Telegram Multi-account contenait du code malveillant au moins depuis le 15 février 2025 — c'est-à-dire plus d'un an avant sa découverte.
- Consultez la liste de ces 108 extensions dans le rapport Socket et supprimez-les immédiatement
- Après la suppression — forcer la déconnexion de vos comptes Google et Telegram dans toutes les sessions
- Dans Telegram : Paramètres → Appareils → terminer toutes les sessions actives
- Dans Google : myaccount.google.com → Sécurité → Vos appareils
La véritable question n'est pas de savoir si Google supprimera ces 108 extensions — il le fera. La question est de savoir si le processus d'examen du Chrome Web Store changera suffisamment pour que la prochaine campagne avec un serveur C2 unique réparti sur cinq comptes ne passe pas un an inaperçue. Si la réponse est non — la liste suivante sera plus longue.
