นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยส่วนขยายที่เป็นอันตรายของ Google Chrome ที่มีความสามารถในการปลอมแปลงลิงก์พันธมิตร ขโมยข้อมูล และรวบรวมโทเค็นการยืนยันตัวตนของ OpenAI ChatGPT ส่วนขยายหนึ่งชื่อ ‘Amazon Ads Blocker’ ซึ่งเป็นส่วนหนึ่งของกลุ่มส่วนเสริม 29 รายการที่มุ่งเป้าไปที่แพลตฟอร์มอีคอมเมิร์ซหลายแห่ง เช่น Amazon และ AliExpress ได้ทำการแทรกหรือเปลี่ยนแท็กพันธมิตรเพื่อเปลี่ยนเส้นทางการจ่ายค่าคอมมิชชันให้ผู้โจมตี นอกจากนี้ ยังมีการพบส่วนขยายอีก 4 รายการที่ขโมยข้อมูลคลิปบอร์ด, คุกกี้, แทรกโฆษณา, เปลี่ยนเส้นทางการค้นหา และใช้ช่องโหว่ XSS รวมถึงเครือข่ายส่วนขยาย ‘ChatGPT Mods’ 16 รายการที่ขโมยโทเค็นการเข้าถึง ChatGPT การโจมตีเหล่านี้ชี้ให้เห็นถึงอันตรายของการใช้ส่วนขยายที่ไม่น่าเชื่อถือและภัยคุกคามใหม่ๆ ที่มุ่งเป้าไปที่ AI ในสภาพแวดล้อมการทำงานปัจจุบัน นอกจากนี้ Stanley ซึ่งเป็นชุดเครื่องมือมัลแวร์ในรูปแบบบริการ (MaaS) ได้ถูกนำเสนอในตลาดมืดเพื่อสร้างส่วนขยาย Chrome ที่ใช้การฟิชชิ่งผ่านการแทรก iframe โดยที่ URL ในเบราว์เซอร์ยังคงเป็นของจริง
Severity: สูง
System Impact:
- Google Chrome (ส่วนขยายเบราว์เซอร์)
- Microsoft Edge (ส่วนขยายเบราว์เซอร์)
- OpenAI ChatGPT (โทเค็นการยืนยันตัวตน)
- แพลตฟอร์มอีคอมเมิร์ซ (Amazon, AliExpress, Best Buy, Shein, Shopify, Walmart)
- WordPress (ปลั๊กอิน Stockdio Historical Chart)
- ข้อมูลคลิปบอร์ดของผู้ใช้
- คุกกี้ของผู้ใช้
- เงื่อนไขการค้นหาของผู้ใช้
- ข้อมูลการเรียกดูของผู้ใช้
Technical Attack Steps:
- ผู้ใช้ติดตั้งส่วนขยาย Chrome/Edge ที่ดูเหมือนถูกกฎหมายจากร้านค้าอย่างเป็นทางการ
- ส่วนขยายที่ประสงค์ร้ายจะสแกน URL ของผลิตภัณฑ์อีคอมเมิร์ซเพื่อเปลี่ยนหรือแทรกแท็กพันธมิตรของผู้โจมตี
- ส่วนขยายจะขูดข้อมูลผลิตภัณฑ์และส่งไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม (เช่น app.10xprofit[.]io)
- ส่วนขยายแสดงตัวจับเวลา ‘LIMITED TIME DEAL’ ปลอมเพื่อเร่งให้ผู้ใช้ทำการซื้อ
- ส่วนขยายบางตัว (เช่น Good Tab) ได้รับสิทธิ์ในการอ่าน/เขียนคลิปบอร์ดเต็มรูปแบบผ่านโดเมนภายนอก
- ส่วนขยายบางตัว (เช่น Children Protection) รวบรวมคุกกี้และแทรกโฆษณาหรือ JavaScript โดยพลการผ่านเซิร์ฟเวอร์ระยะไกล
- ส่วนขยายบางตัว (เช่น DPS Websafe) เปลี่ยนเครื่องมือค้นหาเริ่มต้นเพื่อเปลี่ยนเส้นทางผู้ใช้และบันทึกคำค้นหา
- ส่วนขยายบางตัว (เช่น Stock Informer) ใช้ช่องโหว่ที่ทราบแล้ว (เช่น XSS ในปลั๊กอิน WordPress) เพื่อดำเนินการโค้ด
- ส่วนขยาย ‘ChatGPT Mods’ ฉีดสคริปต์เนื้อหาเข้าไปใน chatgpt[.]com เพื่อดักจับและขโมยโทเค็นการยืนยันตัวตน
- ชุดเครื่องมือ Stanley สร้างหน้าฟิชชิงภายใน iframe ของ HTML โดยวางซ้อนบนเว็บไซต์ที่ถูกต้องแต่ยังคงแสดง URL ที่ถูกต้องในแถบที่อยู่ของเบราว์เซอร์
Recommendations:
Short Term:
- ตรวจสอบส่วนขยายเบราว์เซอร์ที่ติดตั้งทันที
- ลบส่วนขยายที่น่าสงสัยหรือไม่จำเป็น โดยเฉพาะที่กล่าวถึงในข่าวนี้
- ระมัดระวังส่วนขยายที่ขอสิทธิ์มากเกินไป (เช่น การเข้าถึงคลิปบอร์ดทั้งหมด หรือ ‘อ่านและเปลี่ยนแปลงข้อมูลทั้งหมดของคุณบนเว็บไซต์’)
- ตรวจสอบการเปิดเผยข้อมูลและฟังก์ชันการทำงานของส่วนขยายว่าตรงกับพฤติกรรมการทำงานจริงหรือไม่
- อัปเดตเว็บเบราว์เซอร์และระบบปฏิบัติการเป็นเวอร์ชันล่าสุด
Long Term:
- ใช้แนวทาง ‘สิทธิ์ขั้นต่ำ’ สำหรับส่วนขยายเบราว์เซอร์
- ใช้โซลูชันความปลอดภัยที่มีชื่อเสียงที่สามารถตรวจจับและบล็อกส่วนขยายที่เป็นอันตรายได้
- ตรวจสอบนโยบายและสิทธิ์ของส่วนขยายเบราว์เซอร์เป็นประจำ
- ให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการติดตั้งส่วนขยายที่ไม่น่าเชื่อถือและการระบุการพยายามฟิชชิง
- ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีที่มีความละเอียดอ่อน รวมถึง ChatGPT เพื่อลดความเสี่ยงจากการขโมยโทเค็น
- ติดตามข่าวสารเกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์และแนวทางปฏิบัติที่ดีที่สุดอย่างต่อเนื่อง
Source: https://thehackernews.com/2026/01/researchers-uncover-chrome-extensions.html
Share this content: