108 Ekstensi Chrome Berbahaya Curi Data Google dan Telegram, 20.000 Pengguna Terkena

Peneliti keamanan siber baru-baru ini mengungkap sebuah kampanye jahat yang melibatkan 108 ekstensi Google Chrome yang berbahaya. Ekstensi-ekstensi ini terhubung ke infrastruktur command-and-control (C2) yang sama dengan tujuan mencuri data pengguna serta melakukan penyalahgunaan browser dengan menyisipkan iklan dan kode JavaScript sembarangan di setiap laman yang dikunjungi.

Modus Operandi dan Skala Serangan

Berdasarkan laporan dari Socket, ekstensi-ekstensi ini diterbitkan oleh lima penerbit berbeda, yaitu Yana Project, GameGen, SideGames, Rodeo Games, dan InterAlt. Secara kolektif, ekstensi-ekstensi ini telah diunduh oleh sekitar 20.000 pengguna di Chrome Web Store.

"Semua 108 ekstensi ini mengirimkan kredensial yang dicuri, identitas pengguna, dan data browsing ke server yang dikendalikan oleh operator yang sama," ujar peneliti keamanan Kush Pandya dalam analisisnya.

Dari keseluruhan ekstensi tersebut, 54 ekstensi mencuri identitas akun Google melalui OAuth2, 45 ekstensi membuka backdoor universal yang memungkinkan pembukaan URL sembarangan saat browser mulai berjalan, dan sisanya melakukan berbagai aktivitas berbahaya lainnya seperti:

• Mengambil sesi Telegram Web setiap 15 detik
• Menghapus header keamanan YouTube dan TikTok (Content Security Policy, X-Frame-Options, dan CORS) untuk menyisipkan overlay judi dan iklan
• Menyisipkan skrip konten di setiap halaman yang dikunjungi pengguna
• Mengalihkan semua permintaan terjemahan melalui server pelaku

Pengelabuan dan Fungsi Palsu

Untuk menutupi aktivitas jahatnya, ekstensi-ekstensi ini menyamar sebagai aplikasi pendamping Telegram, permainan slot dan Keno, peningkat YouTube dan TikTok, alat terjemahan teks, serta utilitas halaman. Fungsi yang diiklankan beragam untuk menjaring pengguna sebanyak mungkin, namun semuanya terhubung ke backend yang sama.

Tanpa disadari oleh pengguna, kode berbahaya di belakang layar mencuri informasi sesi, menyisipkan skrip sembarangan, dan membuka URL yang dipilih oleh penyerang.

Contoh Ekstensi Berbahaya

• Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa) yang mengekstrak token user_auth Telegram Web dan mengirimkan data ke server jarak jauh. Ekstensi ini juga dapat mengganti localStorage dengan data sesi yang dikirim pelaku dan memaksa memuat aplikasi pesan, menggantikan sesi aktif korban dengan sesi pelaku.
• Web Client for Telegram - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno) yang menghapus header keamanan Telegram dan menyisipkan skrip untuk mencuri sesi Telegram.
• Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj) yang mencuri identitas akun Google pengguna saat pertama kali tombol sign-in diklik, termasuk email, nama lengkap, URL foto profil, dan ID akun Google.

Menurut Socket, lima ekstensi menggunakan API declarativeNetRequest Chrome untuk menghapus header keamanan dari situs target sebelum halaman dimuat. Semua 108 ekstensi jahat tersebut berbagi backend yang sama di alamat IP 144.126.135[.]238.

Asal-usul dan Imbauan Keamanan

Identitas pelaku di balik ekstensi-ekstensi ini belum diketahui dengan pasti, namun analisis kode sumber menunjukkan adanya komentar berbahasa Rusia pada beberapa add-on.

Pengguna yang telah menginstal ekstensi ini sangat disarankan untuk segera menghapusnya dan keluar dari semua sesi Telegram Web melalui aplikasi Telegram di ponsel.

Analisis Redaksi

Menurut pandangan redaksi, kasus ini menjadi peringatan serius tentang betapa rentannya pengguna terhadap ancaman yang datang dari platform resmi seperti Chrome Web Store. Langkah yang dinilai kontroversial ini menunjukkan bahwa meskipun ada proses pemeriksaan, pelaku kejahatan siber masih mampu menyusup dan mengeksploitasi celah guna mencuri data pribadi dalam jumlah besar.

Selain itu, penyamarannya sebagai aplikasi yang tampak legit dan beragam fungsi palsu menjadi strategi ampuh untuk menjaring korban tanpa mencurigakan. Hal ini menggarisbawahi kebutuhan mendesak bagi Google dan pengembang browser untuk memperketat mekanisme verifikasi serta mengedukasi pengguna agar lebih waspada terhadap ekstensi yang diunduh.

Kedepannya, penting untuk memantau perkembangan serangan serupa dan pergerakan pelaku yang mungkin akan beralih ke platform lain atau menggunakan metode baru. Pengguna juga harus rutin melakukan audit ekstensi yang terpasang dan segera bertindak bila ada indikasi kejanggalan.

Untuk informasi lebih lengkap dan pemantauan ancaman siber terbaru, simak terus update dari The Hacker News dan sumber terpercaya lainnya seperti Kompas.