Ekstensi Chrome Berbahaya Usai Alih Kepemilikan, Bahayakan Data dan Sistem Anda

Belakangan ini, dua ekstensi Google Chrome mengalami perubahan fungsi yang sangat berbahaya setelah proses alih kepemilikan, memungkinkan para penyerang untuk menyebarkan malware kepada pengguna, melakukan injeksi kode sembarangan, dan mencuri data sensitif secara masif.

Ekstensi Chrome yang Terinfeksi Setelah Alih Kepemilikan

Ekstensi yang terlibat adalah QuickLens - Search Screen with Google Lens (7.000 pengguna) dan ShotBird - Scrolling Screenshots, Tweet Images & Editor (800 pengguna). Keduanya awalnya dikembangkan oleh developer dengan email [email protected] (BuildMelon).

Saat ini, QuickLens sudah dihapus dari Chrome Web Store, namun ShotBird masih tersedia. ShotBird diluncurkan pertama kali pada November 2024 oleh Akshay Anu S (@AkshayAnuOnline) yang mengklaim ekstensi ini aman dan seluruh prosesnya berjalan secara lokal.

Perjalanan Alih Kepemilikan dan Modifikasi Berbahaya

Menurut riset dari monxresearch-sec, ShotBird mendapat status "Featured" pada Januari 2025 sebelum dialihkan ke pemilik baru [email protected] pada awal 2026. Sedangkan QuickLens dijual di ExtensionHub pada Oktober 2025 dan pada 1 Februari 2026, kepemilikannya berpindah ke [email protected].

Pembaruan berbahaya pada QuickLens tanggal 17 Februari 2026 mempertahankan fungsi asli, namun menambahkan kemampuan menghapus header keamanan seperti X-Frame-Options sehingga skrip berbahaya dapat menyusup dan melewati kebijakan keamanan Content Security Policy (CSP).

Selain itu, ekstensi ini juga melakukan fingerprinting negara pengguna, mendeteksi browser dan sistem operasi, serta secara rutin mengambil dan menjalankan kode JavaScript berbahaya yang disimpan secara tersembunyi pada setiap halaman yang dibuka melalui elemen gambar 1×1 pixel yang tidak terlihat.

"Kode berbahaya sebenarnya tidak pernah muncul dalam file sumber ekstensi," ujar John Tuckner dari Annex Security. "Analisis statis hanya menunjukkan fungsi pembuat elemen gambar. Payload dikirim dari server Command-and-Control (C2) dan disimpan di local storage, aktif saat runtime."

Modus Operandi ShotBird dan Dampaknya

ShotBird menggunakan metode berbeda, yakni pengiriman langsung kode JavaScript yang menampilkan notifikasi palsu pembaruan Google Chrome. Jika pengguna mengklik notifikasi tersebut, mereka diarahkan ke halaman berbahaya yang membuka dialog Windows Run, menjalankan perintah PowerShell, dan mengunduh file berbahaya "googleupdate.exe".

Malware ini kemudian mengawasi aktivitas input pada formulir seperti textbox dan textarea untuk mencuri data pribadi, termasuk kredensial, PIN, detail kartu, token, dan informasi pemerintah. Selain itu, ia juga mampu mengakses password, riwayat browsing, dan data ekstensi lain yang tersimpan di browser.

"Ini adalah rantai penyalahgunaan dua tahap: kontrol jarak jauh pada browser melalui ekstensi dan eksekusi skrip di level host melalui pembaruan palsu," jelas peneliti. "Dampaknya sangat serius, bukan hanya pencurian data browser, tapi juga kompromi sistem secara menyeluruh."

Analisis Redaksi

Menurut pandangan redaksi, kasus ini merupakan gambaran nyata masalah rantai pasok ekstensi browser yang selama ini kerap luput dari perhatian publik. Ekstensi yang sudah dipercaya dan mendapat badge "Featured" di Chrome Web Store bisa saja beralih tangan ke pelaku berbahaya yang kemudian mengubahnya menjadi alat serangan siber.

Implikasi jangka panjangnya sangat berbahaya, terutama bagi pengguna korporasi dan individu yang bergantung pada ekstensi sebagai alat produktivitas sehari-hari. Penyerang tidak hanya mencuri data, tetapi juga membuka pintu kompromi sistem yang bisa dimanfaatkan untuk serangan lebih lanjut.

Ke depan, pengguna harus lebih waspada dalam menginstal ekstensi, terutama memperhatikan perubahan kepemilikan dan update yang tiba-tiba mengandung fungsi baru. Sementara itu, Google dan pengelola marketplace ekstensi harus memperketat proses audit dan monitoring ekstensi terutama yang sudah populer.

Ancaman Lain di Ekosistem Ekstensi Chrome

Kasus ini bukan satu-satunya. Microsoft dan peneliti keamanan lain mengungkap berbagai ekstensi jahat yang menyamar sebagai alat AI produktivitas, mencuri data chat dan riwayat browsing, serta melakukan phishing untuk mencuri frase seed cryptocurrency.

Beberapa ekstensi sempat menggunakan teknik hijacking afiliasi dan malware Remote Access Trojan (RAT) yang tersembunyi di balik nama alat otomatisasi AI. Bahkan, ekstensi dengan lebih dari 100.000 pengguna teridentifikasi pernah terlibat dalam kampanye "RedDirection" untuk membajak browser dan mengarahkan trafik ke situs berbahaya.

Rekomendasi Pengguna

• Segera hapus ekstensi QuickLens, ShotBird, dan ekstensi lain yang disebutkan berbahaya.
• Hindari memasang ekstensi dari sumber tidak terpercaya atau yang tidak jelas riwayat pengembangnya.
• Audit secara rutin daftar ekstensi di browser dan perbarui hanya dari developer terpercaya.
• Waspada terhadap notifikasi pembaruan yang mencurigakan dan jangan klik tautan sembarangan.

Kasus ini menegaskan bahwa keamanan browser adalah lini pertahanan penting dalam menjaga data pribadi dan integritas sistem. Tetap ikuti perkembangan informasi keamanan siber agar tidak menjadi korban berikutnya.

Untuk update informasi keamanan terbaru, ikuti kami di Google News, Twitter, dan LinkedIn.