Malicious Chrome Extension Steal ChatGPT and DeepSeek Conversations from 900K Users

ส่วนขยาย Chrome ที่เป็นอันตรายสองรายการได้ทำการขโมยข้อมูลการสนทนาจาก ChatGPT และ DeepSeek รวมถึงประวัติการเข้าชมทั้งหมด จากผู้ใช้งานกว่า 900,000 ราย โดยแอบส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี ส่วนขยายเหล่านี้ปลอมแปลงเป็นเครื่องมือ AI sidebar ที่ถูกกฎหมาย และส่วนขยายปลอมหนึ่งในนั้นยังเคยได้รับตรา ‘Featured’ จาก Google ด้วย การโจมตีนี้ส่งผลให้เกิดความเสี่ยงต่อการรั่วไหลของทรัพย์สินทางปัญญา ความลับขององค์กร และข้อมูลส่วนบุคคล ซึ่งอาจนำไปใช้ในการจารกรรมข้อมูลหรือขายในตลาดมืดได้

Severity: วิกฤต

System Impact:

• ผู้ใช้งานเบราว์เซอร์ Google Chrome
• แพลตฟอร์ม ChatGPT
• แพลตฟอร์ม DeepSeek
• ข้อมูลการสนทนากับ LLMs เช่น GPT และ Claude
• ประวัติการเข้าชมเว็บของผู้ใช้

Technical Attack Steps:

1. 1. ผู้ใช้ติดตั้งส่วนขยาย Chrome ที่เป็นอันตราย ซึ่งปลอมตัวเป็นเครื่องมือ AI sidebar ที่ถูกต้องตามกฎหมาย (เช่น AITOPIA) โดยส่วนขยายปลอมหนึ่งในนั้นเคยได้รับตรา ‘Featured’ จาก Google
2. 2. ส่วนขยายจะร้องขอความยินยอมสำหรับ ‘anonymous analytics’ เพื่อปกปิดเจตนาในการขโมยข้อมูล
3. 3. ส่วนขยายจะตรวจสอบแท็บเบราว์เซอร์อย่างต่อเนื่องผ่าน API `chrome.tabs.onUpdated`
4. 4. เมื่อตรวจพบ URL ของ `chatgpt.com` หรือ `deepseek.com` ส่วนขยายจะทำการดึง (scrape) DOM element เพื่อเก็บพรอมต์ การตอบกลับ และ Session ID
5. 5. ข้อมูลที่ถูกดึงมาได้ รวมถึงประวัติการเข้าชมทั้งหมด จะถูกจัดเก็บไว้ในเครื่องของผู้ใช้
6. 6. ข้อมูลที่ถูกเข้ารหัส Base64 จะถูกส่งเป็นชุดทุก 30 นาที ไปยังเซิร์ฟเวอร์ Command and Control (C2) ที่ควบคุมโดยผู้โจมตี (เช่น deepaichats[.]com หรือ chatsaigpt[.]com)
7. 7. หากผู้ใช้ถอนการติดตั้งส่วนขยายที่เป็นอันตรายหนึ่งตัว ส่วนขยายนั้นจะเปลี่ยนเส้นทางผู้ใช้ไปยังอีกส่วนขยายหนึ่งเพื่อติดตั้งแทน

Recommendations:

Short Term:

• เยี่ยมชม `chrome://extensions` ในเบราว์เซอร์ Chrome ของคุณ
• ระบุและลบส่วนขยายที่มี ID: `fnmihdojmnkclgjpcoonokmkhjpjechg` และ `inhcgfpbfdjbjogdfjbclgolkmhnooop`
• หลีกเลี่ยงการติดตั้งส่วนขยายที่ไม่ได้รับการยืนยัน แม้ว่าจะมีการรับรอง ‘Featured’ ก็ตาม

Long Term:

• ติดตั้งส่วนขยายจากแหล่งที่น่าเชื่อถือและตรวจสอบผู้พัฒนาอย่างรอบคอบ
• ตรวจสอบสิทธิ์ที่ส่วนขยายร้องขออย่างละเอียดก่อนการติดตั้ง
• ทำการตรวจสอบส่วนขยายที่ติดตั้งเป็นประจำ และลบส่วนขยายที่ไม่ใช้งานหรือไม่จำเป็นออก
• ให้ความรู้แก่พนักงานหรือผู้ใช้เกี่ยวกับความเสี่ยงของส่วนขยายเบราว์เซอร์ที่เป็นอันตรายและวิธีการระบุ

Source: https://cybersecuritynews.com/malicious-chrome-extension-steal-data/