Исследователи компании LayerX выявили скоординированный набор расширений для браузера Chrome, которые рекламируются как инструменты для повышения продуктивности и улучшения работы с ChatGPT. На практике же эти расширения предназначены для кражи идентификационных данных пользователей популярного ИИ-сервиса. Кампания включает в себя как минимум 16 различных расширений, разработанных одной и той же злоумышленниками для максимально широкого распространения.
Описание
Эта кампания совпадает с общей тенденцией: стремительным ростом популярности расширений для браузеров, использующих искусственный интеллект и призванных помогать пользователям в повседневных задачах. Хотя большинство из них полностью безопасны, многие такие расширения имитируют известные бренды, чтобы завоевать доверие пользователей, особенно те, что предназначены для улучшения взаимодействия с большими языковыми моделями. Поскольку таким расширениям всё чаще требуется глубокая интеграция с аутентифицированными веб-приложениями, они создают существенно расширенную поверхность для атак через браузер.
Анализ показал, что расширения в этой кампании используют общий механизм, который перехватывает аутентификационные токены сессии ChatGPT и передаёт их на сторонний сервер. Владение таким токеном предоставляет доступ к учётной записи на уровне самого пользователя, включая историю переписки и метаданные. В результате злоумышленники могут получить копию учётных данных пользователя для доступа к ChatGPT и выдавать себя за него, получая доступ ко всем его беседам, данным или коду.
Это открытие подчёркивает необходимость для корпораций контролировать и ограничивать использование сторонних ИИ-расширений, поскольку они могут похищать конфиденциальную информацию. Хотя эти расширения не эксплуатируют уязвимости в самом ChatGPT, их конструкция позволяет осуществлять захват сессии и скрытый доступ к аккаунту, что представляет значительный риск для безопасности и приватности.
В настоящее время с этой кампанией связано около 900 загрузок - капля в море по сравнению с такими расширениями, как GhostPoster или RolyPoly VPN. Однако, хотя масштаб атаки является очевидным индикатором её значимости, он не единственный. Оптимизаторы для GPT популярны, и в Chrome Web Store достаточно высоко оценённых легитимных расширений, поэтому пользователи могут легко пропустить любые тревожные признаки. Более того, один из вариантов имеет значок "рекомендовано", гласящий, что он "следует рекомендуемым практикам для расширений Chrome".
Достаточно одной удачной итерации, чтобы вредоносное расширение стало популярным. Эксперты полагают, что оптимизаторы для GPT вскоре станут такими же популярными, как и VPN-расширения, поэтому они решили приоритизировать публикацию этого анализа. Цель - остановить кампанию до того, как она достигнет критической массы.
Расширения для ИИ как новая поверхность для атак
Браузерные расширения, сфокусированные на искусственном интеллекте, стали обычным компонентом рабочего процесса для пользователей, стремящихся повысить продуктивность с помощью генеративных ИИ-платформ. Эти инструменты часто требуют доступа к аутентифицированным ИИ-сервисам, тесной интеграции со сложными одностраничными приложениями и повышенных контекстов выполнения в браузере. Следовательно, ИИ-расширения находятся в уникальном положении для наблюдения за конфиденциальными данными во время выполнения, включая артефакты аутентификации. Это сочетание высоких привилегий, доверия пользователей и быстрого внедрения делает их всё более привлекательным вектором для злоупотреблений.
Технический анализ: перехват токенов сессии
Основная проблема безопасности, выявленная во всей кампании, - это перехват токенов сессии ChatGPT. Практически во всех проанализированных вариантах расширения реализуют одну и ту же схему работы. В страницу chatgpt.com внедряется контент-скрипт, который выполняется в основном (MAIN) мире JavaScript. Этот скрипт перехватывает функцию window.fetch браузера, позволяя наблюдать за исходящими запросами, инициируемыми веб-приложением ChatGPT. Когда обнаруживается запрос, содержащий заголовок авторизации, токен сессии извлекается. Затем второй контент-скрипт получает это сообщение и передаёт токен на удалённый сервер. Этот подход позволяет оператору расширения аутентифицироваться в сервисах ChatGPT, используя активную сессию жертвы, и получать доступ ко всей истории чатов пользователя, а также к подключенным источникам данных, таким как Google Drive, Slack или GitHub.
Ключевым аспектом атаки является выполнение перехватывающего скрипта в основном мире JavaScript. Это позволяет коду расширения работать в том же контексте выполнения, что и само веб-приложение. В результате он получает доступ к тем же объектам, функциям и состоянию в памяти, что и страница, и может переопределять нативные API, такие как window.fetch. Скрипт может наблюдать или манипулировать данными, которые никогда не передаются по сети, включая заголовки аутентификации перед отправкой, токены в памяти и объекты состояния приложения.
Помимо токена сессии ChatGPT, на сторонний сервер также передаются метаданные расширения, телеметрия использования и токены доступа, выданные бэкендом. Эти данные позволяют злоумышленнику расширять доступ, обеспечивать постоянную идентификацию пользователя, строить поведенческий профиль и поддерживать длительный доступ к сторонним сервисам. В совокупности эти элементы могут использоваться для корреляции активности между сессиями, анализа шаблонов использования и сохранения доступа за пределами одного сеанса в браузере, что увеличивает как последствия для приватности, так и потенциальный масштаб ущерба в случае компрометации.
Масштаб кампании и инфраструктура
Из 16 идентифицированных расширений в этой кампании 15 распространялись через Chrome Web Store, а одно было опубликовано в магазине дополнений Microsoft Edge. На момент публикации анализа все выявленные расширения оставались доступны в соответствующих магазинах. Большинство из них демонстрируют относительно низкое количество индивидуальных установок, и лишь небольшая часть достигла более широкого распространения. Исследователи надеются, что публикация поможет остановить кампанию на ранней стадии с минимальными последствиями.
Несколько индикаторов свидетельствуют о том, что эти расширения являются частью единой скоординированной кампании. В их числе общий минифицированный код, используемый в нескольких расширениях, схожие характеристики издателей, практически идентичные иконки и описания, а также публикация и обновление расширений группами в одни и те же даты. Кроме того, вся инфраструктура для сбора данных едина - все расширения связываются с одним и тем же доменом.
Обнаружение на ранней стадии стало возможным благодаря сочетанию автоматического обнаружения браузерных расширений с использованием ИИ и анализа сходства кода. Это позволило выявить общие минифицированные артефакты кода, соотнести расширения с практически идентичным поведением и распознать шаблоны распространения вариантов, где несколько расширений с пересекающейся функциональностью публикуются и обновляются скоординированными группами.
Это исследование наглядно демонстрирует, как расширения для браузеров, нацеленные на ИИ-платформы, могут быть использованы для получения доступа к учётной записи через легитимные механизмы сессии, без эксплуатации уязвимостей или развёртывания очевидного вредоносного ПО. Комбинируя выполнение в основном мире JavaScript с перехватом токенов аутентификации, операторы получают постоянный доступ к учётным записям пользователей, оставаясь в рамках стандартного поведения веб-приложений. Подобные техники особенно сложно обнаружить с помощью традиционных инструментов безопасности на конечных точках или уровне сети. По мере того как ИИ-платформы продолжают интегрироваться в корпоративные и личные рабочие процессы, браузерные расширения, взаимодействующие с аутентифицированными ИИ-сервисами, должны рассматриваться как программное обеспечение с высоким уровнем риска и подвергаться тщательной проверке.
Индикаторы компрометации
Domains
- chatgptmods.com
- Imagents.top
Emails
- support@imagents.top
Extensions ID
- afjenpabhpfodjpncbiiahbknnghabdc
- gbcgjnbccjojicobfimcnfjddhpphaod
- hfdpdgblphooommgcjdnnmhpglleaafj
- hljdedgemmmkdalbnmnpoimdedckdkhm
- hpcejjllhbalkcmdikecfngkepppoknd
- ifjimhnbnbniiiaihphlclkpfikcdkab
- ioaeacncbhpmlkediaagefiegegknglc
- ipjgfhcjeckaibnohigmbcaonfcjepmb
- jhohjhmbiakpgedidneeloaoloadlbdj
- kefnabicobeigajdngijnnjmljehknjl
- lechagcebaneoafonkbfkljmbmaaoaec
- miigijnefpkjcenfbinhdpafehaddag
- mmjmcfaejolfbenlplfoihnobnggljij
- nhnfaiiobkpbenbbiblmgncgokeknnno
- obdobankihdfckkbfnoglefmdgmblcld
- pfgbcfaiglkcoclichlojeaklcfboieh
Extension Name
- ChatGPT bulk delete, Chat manager – ChatGPT Mods
- ChatGPT export, Markdown, JSON, images – ChatGPT Mods
- ChatGPT folder, voice download, prompt manager, free tools – ChatGPT Mods
- ChatGPT message navigator, history scroller – ChatGPT Mods
- ChatGPT model switch, save advanced model uses – ChatGPT Mods
- ChatGPT Mods – Folder Voice Download & More Free Tools
- ChatGPT pin chat, bookmark – ChatGPT Mods
- ChatGPT Prompt Manager, Folder, Library, Auto Send – ChatGPT Mods
- ChatGPT prompt optimization – ChatGPT Mods
- ChatGPT search history, locate specific messages – ChatGPT Mods
- ChatGPT Timestamp Display – ChatGPT Mods
- ChatGPT Token counter – ChatGPT Mods
- ChatGPT voice download, TTS download – ChatGPT Mods
- Collapsed message – ChatGPT Mods
- Multi-Profile Management & Switching – ChatGPT Mods
- Search with ChatGPT – ChatGPT Mods
