Annexの研究者が悪意のある機能が含まれたChromeブラウザ拡張機能に関する調査内容を公開した。

この拡張機能では、1x1の透明なGIFの読み込みをトリガーとしてC2サーバから取得したペイロードを<img>のonloadで実行する。

静的解析で悪意がある部分を特定できなくて、Chrome Web Storeの審査・自動スキャンを完全にすり抜けるとかあるようだ。

そんなことよりも! 気になったのは、ブラウザ拡張機能ってユーザの知らんうちに売買されてんの？？？？

AnnexによるPixel Perfectに関する記事↓
annex.security

Annexの研究者がブラウザ拡張機能を購入してみた話↓
annex.security

ブラウザ拡張機能売買プラットフォーム「Extensionhub」

ブラウザ拡張機能の開発者もメンテナンスしたくなくなったり、メンテナンスの余裕がなくなったりすることはあると思う。

そんなときは、「事前にもうアップデートしない」とか連絡して欲しい。それでも、せっかく利用ユーザがいるので何とかそのユーザたちには今後も使い続けてもらうために後継者を探すためのプラットフォームと思われるものがある。
www.extensionhub.io

という風に綺麗事を並べてみたものの、既に感染者のいるマルウェアのC2サービスを売っているように見えました。

別に見た目は、ユーザのいるブラウザ拡張機能開発権限を売買するプラットフォームなのだが。

でも、誰がどんな人に売ったのかの詳細を確認できるわけではなさそう。なので、悪意のある人に渡ったらどうなる？って話。

実際、上に挙げたPixel Perfectの話は悪意のある第三者が購入した可能性が高いって話だし。

「Extensionhub」での購入は簡単そう。

売主と直接交渉し、ブラウザ拡張機能を購入。

Chromeウェブストアでの所有権移動は手数料5ドル。新しく作ったばかりのgoogleアカウントで問題無かったらしい。

拡張機能の所有権が移行されると、Chrome拡張機能の開発者ポータルで確認可能になる。

そして、この際に拡張機能はインストールされているすべてのユーザーで有効のまま。所有権以降時に拡張機能の利用者には通知なく、気づくことはない。

ちなみにExtensionhubで検索したところ、ユーザ数2000で$500で販売されている拡張機能を発見。アイコンは違うものに見えるが同じ拡張機能の説明。

さて、この拡張機能を購入すれば2000のユーザのブラウザに直ぐ影響を及ぼせるわけで......。

最近はChatGPTやらClaudeやらと連携するって謡って、チャット履歴全部攻撃者に送信する拡張機能とか。AI系の悪意ある拡張機能が増えた。

そういう始めから悪意あるのじゃなくて、途中からマルウェアになる拡張機能ってこういうのが多いのだろうなという感想。

個人的にはブラウザ拡張機能は基本使わない派。

こういうことがあるなら尚更使わない方が良いなぁと思ってしまう。