ส่วนขยาย Chrome ที่เป็นอันตรายสองรายการได้ทำการขโมยข้อมูลการสนทนาจาก ChatGPT และ DeepSeek รวมถึงประวัติการเข้าชมทั้งหมด จากผู้ใช้งานกว่า 900,000 ราย โดยแอบส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี ส่วนขยายเหล่านี้ปลอมแปลงเป็นเครื่องมือ AI sidebar ที่ถูกกฎหมาย และส่วนขยายปลอมหนึ่งในนั้นยังเคยได้รับตรา ‘Featured’ จาก Google ด้วย การโจมตีนี้ส่งผลให้เกิดความเสี่ยงต่อการรั่วไหลของทรัพย์สินทางปัญญา ความลับขององค์กร และข้อมูลส่วนบุคคล ซึ่งอาจนำไปใช้ในการจารกรรมข้อมูลหรือขายในตลาดมืดได้
Severity: วิกฤต
System Impact:
- ผู้ใช้งานเบราว์เซอร์ Google Chrome
- แพลตฟอร์ม ChatGPT
- แพลตฟอร์ม DeepSeek
- ข้อมูลการสนทนากับ LLMs เช่น GPT และ Claude
- ประวัติการเข้าชมเว็บของผู้ใช้
Technical Attack Steps:
- 1. ผู้ใช้ติดตั้งส่วนขยาย Chrome ที่เป็นอันตราย ซึ่งปลอมตัวเป็นเครื่องมือ AI sidebar ที่ถูกต้องตามกฎหมาย (เช่น AITOPIA) โดยส่วนขยายปลอมหนึ่งในนั้นเคยได้รับตรา ‘Featured’ จาก Google
- 2. ส่วนขยายจะร้องขอความยินยอมสำหรับ ‘anonymous analytics’ เพื่อปกปิดเจตนาในการขโมยข้อมูล
- 3. ส่วนขยายจะตรวจสอบแท็บเบราว์เซอร์อย่างต่อเนื่องผ่าน API `chrome.tabs.onUpdated`
- 4. เมื่อตรวจพบ URL ของ `chatgpt.com` หรือ `deepseek.com` ส่วนขยายจะทำการดึง (scrape) DOM element เพื่อเก็บพรอมต์ การตอบกลับ และ Session ID
- 5. ข้อมูลที่ถูกดึงมาได้ รวมถึงประวัติการเข้าชมทั้งหมด จะถูกจัดเก็บไว้ในเครื่องของผู้ใช้
- 6. ข้อมูลที่ถูกเข้ารหัส Base64 จะถูกส่งเป็นชุดทุก 30 นาที ไปยังเซิร์ฟเวอร์ Command and Control (C2) ที่ควบคุมโดยผู้โจมตี (เช่น deepaichats[.]com หรือ chatsaigpt[.]com)
- 7. หากผู้ใช้ถอนการติดตั้งส่วนขยายที่เป็นอันตรายหนึ่งตัว ส่วนขยายนั้นจะเปลี่ยนเส้นทางผู้ใช้ไปยังอีกส่วนขยายหนึ่งเพื่อติดตั้งแทน
Recommendations:
Short Term:
- เยี่ยมชม `chrome://extensions` ในเบราว์เซอร์ Chrome ของคุณ
- ระบุและลบส่วนขยายที่มี ID: `fnmihdojmnkclgjpcoonokmkhjpjechg` และ `inhcgfpbfdjbjogdfjbclgolkmhnooop`
- หลีกเลี่ยงการติดตั้งส่วนขยายที่ไม่ได้รับการยืนยัน แม้ว่าจะมีการรับรอง ‘Featured’ ก็ตาม
Long Term:
- ติดตั้งส่วนขยายจากแหล่งที่น่าเชื่อถือและตรวจสอบผู้พัฒนาอย่างรอบคอบ
- ตรวจสอบสิทธิ์ที่ส่วนขยายร้องขออย่างละเอียดก่อนการติดตั้ง
- ทำการตรวจสอบส่วนขยายที่ติดตั้งเป็นประจำ และลบส่วนขยายที่ไม่ใช้งานหรือไม่จำเป็นออก
- ให้ความรู้แก่พนักงานหรือผู้ใช้เกี่ยวกับความเสี่ยงของส่วนขยายเบราว์เซอร์ที่เป็นอันตรายและวิธีการระบุ
Source: https://cybersecuritynews.com/malicious-chrome-extension-steal-data/
Share this content: