108 estensioni malevole su Chrome Web Store rubano sessioni Telegram e dati OAuth2

Se pensavate che installare estensioni esclusivamente da Chrome Web Store fosse una garanzia di sicurezza, è il momento di rivedere quella convinzione. Un'indagine pubblicata dal team di ricerca di Socket ha portato alla luce una campagna coordinata di 108 estensioni malevole, tutte presenti nel negozio ufficiale di Google. Non stiamo parlando di software distribuito su forum oscuri o repository sconosciuti: queste estensioni erano disponibili con pagina pubblica, recensioni e contatore di installazioni. Il totale supera le 20.000 installazioni. Al momento della pubblicazione del rapporto, risultavano ancora attive.

Cinque volti, un solo burattinaio

Le 108 estensioni sono state pubblicate sotto cinque identità distinte: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt. Nomi diversi, apparenze diverse, ma tutte riconducibili a un singolo operatore. Il dato tecnico che le tradisce è inequivocabile: il traffico di tutte converge verso lo stesso indirizzo IP - 144.126.135[.]238 - e verso il dominio di comando e controllo (C2) cloudapi[.]stream, registrato già nell'aprile 2022. L'infrastruttura è ospitata su un VPS e si appoggia a un backend basato su Strapi, con sottodomini dedicati a ciascuna funzione malevola.

Le categorie di travestimento sono scelte con precisione per raggiungere segmenti di utenti diversi: client laterali per Telegram, giochi da casinò come slot machine e Keno, strumenti per "migliorare" YouTube e TikTok, traduttori e generiche utilità per la navigazione. Un catalogo vario, pensato per massimizzare la superficie d'attacco.

OAuth2: raccolta d'identità, non furto di token

Il componente più diffuso della campagna - presente in 54 estensioni su 108 - è l'abuso del flusso di autenticazione Google OAuth2.

Quando l'utente effettua l'accesso, l'estensione ottiene un token OAuth2 Bearer e lo utilizza per interrogare le API di Google e recuperare il profilo. Il token in sé non viene trasmesso all'esterno del browser. Ciò che viene invece inviato al server dell'attaccante è il pacchetto di dati identitari permanenti: indirizzo email, nome completo, URL dell'immagine del profilo e identificativo univoco dell'account Google. Non si tratta di un furto di credenziali che consenta il controllo immediato dell'account, ma di una raccolta sistematica di identità, utile al tracciamento a lungo termine e alla correlazione tra servizi diversi.

L'analisi cita come esempio l'estensione Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj), che attiva la raccolta dati al primo clic sul pulsante di accesso. Un gioco di corse, apparentemente innocuo, che funge da aspirapolvere per identità digitali.

Telegram: sessioni rubate ogni 15 secondi

La funzionalità più grave riguarda l'esfiltrazione delle sessioni di Telegram. L'estensione peggiore si chiama Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa), il cui ultimo aggiornamento risale al 15 febbraio 2025 - il che significa che il codice malevolo è rimasto operativo per oltre un anno prima di essere individuato.

L'estensione inietta uno script (content.js) all'interno di https://web.telegram.org/* al momento di document_start, prima ancora che la pagina abbia finito di caricarsi. Lo script chiama la funzione getSessionDataJson(), serializza l'intero localStorage della pagina ed estrae il token user_auth. I dati vengono poi trasmessi al server tg[.]cloudapi[.]stream/save_session.php - e non una sola volta: tramite un ciclo setInterval, la trasmissione si ripete ogni 15 secondi, per tutta la durata della scheda.

Il risultato è l'accesso completo all'account Telegram della vittima: messaggi, contatti, tutto. Senza bisogno né di password né di autenticazione a più fattori. L'estensione è inoltre in grado di sovrascrivere il localStorage con dati di sessione forniti dall'attaccante e forzare il caricamento di Telegram, sostituendo di fatto la sessione attiva della vittima con quella scelta dall'operatore malevolo.

Una seconda estensione, Web Client for Telegram - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno), opera in modo simile: rimuove le intestazioni di sicurezza di Telegram e inietta script per rubare le sessioni.

Una backdoor che si apre a ogni avvio

45 delle 108 estensioni contengono una funzione backdoor battezzata dai ricercatori loadInfo(). Si attiva a ogni avvio del browser, anche se l'utente non apre né interagisce mai con l'estensione. A ogni esecuzione, interroga il server dell'attaccante e può forzare l'apertura di URL arbitrari nel browser.

In pratica, ogni browser infetto diventa un generatore di traffico controllato da remoto. L'operatore può indirizzarlo verso pagine di phishing, siti per frodi pubblicitarie o qualsiasi altra destinazione desideri. Migliaia di browser che obbediscono in silenzio a ogni riavvio.

Intestazioni di sicurezza cancellate, pubblicità iniettate

Cinque estensioni sfruttano l'API declarativeNetRequest di Chrome per rimuovere le intestazioni di sicurezza dai siti visitati prima che la pagina venga caricata. Le intestazioni eliminate includono Content Security Policy, X-Frame-Options e CORS - le difese fondamentali che impediscono l'iniezione di contenuti esterni e il clickjacking.

Con queste protezioni disarmate, le estensioni iniettano sovrapposizioni pubblicitarie legate al gioco d'azzardo su YouTube e TikTok, oltre a inserire script in ogni singola pagina visitata dall'utente. Almeno un'estensione agisce anche come proxy per le traduzioni, instradando tutte le richieste attraverso il server dell'attaccante - una posizione ideale per intercettare il contenuto di qualsiasi testo sottoposto a traduzione.

Un possibile servizio chiavi in mano

L'infrastruttura condivisa, il codice riutilizzato e gli identificativi sovrapposti tra gli account suggeriscono un modello organizzativo che va oltre il singolo attore motivato dalla frode pubblicitaria. I ricercatori di Socket ipotizzano che l'operazione funzioni come una piattaforma di Malware-as-a-Service: identità rubate e sessioni attive rese disponibili a terzi acquirenti. Un catalogo di vittime profilate, in vendita.

Le estensioni violano in modo flagrante le policy di Chrome Web Store. Diverse dichiarano esplicitamente che i dati dell'utente non vengono raccolti né utilizzati impropriamente - affermazioni in contraddizione diretta con il comportamento osservato. Socket ha inviato richieste di rimozione sia al team di sicurezza del Chrome Web Store sia a Google Safe Browsing. Infosecurity Magazine ha contattato Google per un commento, senza ricevere risposta al momento della pubblicazione.

Che cosa fare adesso

Chi utilizza Chrome dovrebbe controllare immediatamente le estensioni installate, confrontandole con l'elenco completo pubblicato da Socket nel rapporto originale.

La rimozione dell'estensione è il primo passo, ma potrebbe non bastare. Chiunque abbia utilizzato Telegram Web con una delle estensioni incriminate dovrebbe considerare compromessa la propria sessione e terminare tutte le sessioni attive dalle impostazioni di Telegram. Per chi è stato colpito dalla raccolta di dati via OAuth2, revocare le autorizzazioni concesse alle app di terze parti - dalla pagina di sicurezza dell'account Google - è un passaggio necessario.

La lezione più amara è che Chrome Web Store, pur essendo la fonte "ufficiale", non offre una protezione sufficiente contro campagne coordinate e ben camuffate.

108 estensioni, cinque identità fittizie, un singolo operatore: il tutto sotto il tetto di Google per oltre un anno. Il processo di revisione delle estensioni ha un problema strutturale, e finché non verrà affrontato con la serietà che merita, la responsabilità di verificare cosa gira nel proprio browser resta interamente sulle spalle dell'utente.

Fonti: cybernews.com, thehackernews.com, socket.dev