Hvordan vi opdagede en kampagne med 16 ondsindede udvidelser, der var bygget til at stjæle ChatGPT-konti
LayerX Research identificerede et koordineret sæt af Chrome-browserudvidelser, der markedsføres som Værktøjer til forbedring og produktivitet af ChatGPT. I praksis er disse udvidelser dog beregnet til at stjæle brugernes ChatGPT-identiteter.Kampagnen består af mindst 16 forskellige udvidelser udviklet af den samme trusselsaktør for at nå så bred en spredning som muligt.
Denne kampagne falder sammen med en bredere tendens: hurtig vækst i adoptionen af AI-drevne browserudvidelser, der har til formål at hjælpe brugerne med deres daglige produktivitetsbehov. Selvom de fleste af dem er fuldstændig godartede, Mange af disse udvidelser efterligner kendte mærker for at vinde brugernes tillid, især dem, der er designet til at forbedre interaktionen med store sprogmodeller. Da disse udvidelser i stigende grad kræver dyb integration med autentificerede webapplikationer, introducerer de en væsentligt udvidet browserangrebsflade.
Vores analyse viser, at udvidelser i denne kampagne implementerer en fælles mekanisme, der opfanger ChatGPT-sessionsgodkendelsestokens og sender dem til en tredjeparts backendBesiddelse af sådanne tokens giver adgang på kontoniveau svarende til brugerens, herunder adgang til samtalehistorik og metadata. Som følge heraf kan angribere kopiere brugernes adgangsoplysninger til ChatGPT og udgive sig for at være dem, hvilket giver dem adgang til alle brugerens ChatGPT-samtaler, data eller kode.
Denne opdagelse understreger behovet for, at virksomheder overvåger og begrænser brugen af tredjeparts AI-udvidelser, da de kan stjæle følsomme oplysninger.
Selvom disse udvidelser ikke udnytter sårbarheder i selve ChatGPT, muliggør deres design sessionskapning og skjult kontoadgang, hvilket repræsenterer en betydelig sikkerheds- og privatlivsrisiko.
Dag, Cirka 900 downloads er forbundet med denne kampagne -- en dråbe i havet sammenlignet med Spøgelsesplakat or RolyPoly VPNMen selvom omfanget af et angreb er en tydelig indikator for dets relevans, er det ikke den eneste. GPT-optimeringsværktøjer er populære, og der er tilstrækkeligt mange højt vurderede og legitime værktøjer i Chrome Webshop til, at folk nemt kan overse advarselstegn, og en af varianterne har en "fremhævet" logo der siger, at den "følger anbefalede fremgangsmåder for Chrome-udvidelser".
Det kræver kun én iteration for en ondsindet udvidelse at blive populær. Vi tror, at GPT-optimerere snart vil blive lige så populære som (ikke mere end) VPN-udvidelser, hvilket er grunden til, at vi prioriterede offentliggørelsen af denne analyse. Vores mål er at lukke den ned, FØR den når kritisk masse.
AI-browserudvidelser som en fremvoksende angrebsflade
AI-fokuserede browserudvidelser er blevet en almindelig workflow-komponent for brugere, der søger produktivitetsforbedringer fra generative AI-platforme. Disse værktøjer kræver ofte:
- Adgang til autentificerede AI-tjenester
- Tæt kobling til komplekse enkeltsidede applikationer
- Forhøjede udførelseskontekster i browseren
Som følge heraf er AI-udvidelser unikt positioneret til at observere følsomme runtime-data, herunder godkendelsesartefakter. Denne kombination af høje privilegier, brugertillid og hurtig implementering gør dem til en stadig mere attraktiv vektor for misbrug.
De udvidelser, der analyseres i denne undersøgelse, viser, hvordan legitimt udseende AI-værktøjer kan udnyttes til at opnå permanent adgang til brugerkonti uden at udnytte softwaresårbarheder eller udløse konventionelle sikkerhedskontroller.
Teknisk analyse
Opfangning og eksfiltrering af sessionstoken
Det primære sikkerhedsproblem, der er identificeret på tværs af kampagnen, er opsnapping af ChatGPT-sessionstoken.
På tværs af alle analyserede varianter (med én undtagelse) implementerer udvidelserne følgende arbejdsgang:
- Et indholdsskript indsættes i chatgpt.com og udføres i sidens HOVED JavaScript-verden.
- Scriptet kobler browseren window.fetch funktion, der gør det muligt at observere udgående anmodninger initieret af ChatGPT-webapplikationen.
Figur 1. Fetch API-hooking
- Når en anmodning, der indeholder en godkendelsesheader, registreres, udtrækkes sessionstokenet.
Figur 2. Udtrækning af autorisationstoken
- Et andet indholdsscript modtager denne besked og sender tokenet til en fjernserver.
Denne tilgang gør det muligt for udvidelsesoperatøren at godkende til ChatGPT-tjenester ved hjælp af offerets aktive session og indhente alle brugeres historik for chats og connectors (brugernes Google Drive, Slack, Git-hub og andre følsomme datakilder).
MAIN World Script Execution
Udvidelsens script til opsnapping af indhold udført i MAIN-verdenen:
Figur 3. MAIN World-indstilling for indholdsscript
Udførelse af indholdsscripts i HOVED JavaScript-verden muliggør direkte interaktion med sidens native runtime, i stedet for at operere i Chromes isolerede indholdsscript-miljø.
Helt konkret betyder dette udvidelseskoden:
- Kører ii samme udførelseskontekst som selve webapplikationen
- Har adgang til de samme JavaScript-objekter, funktioner og in-memory-tilstand, som siden bruger
- Kan tilsidesætte eller ombryde native API'er (f.eks. window.fetch, XMLHttpRequest, Promise, applikationsdefinerede funktioner)
- Kan observere eller manipulere runtime-data, der aldrig krydser netværket eller DOM, herunder:
- godkendelsesheadere før transmission
- in-memory tokens og sessionsartefakter
- applikationstilstandsobjekter brugt af frontend-frameworket
Dataeksponering ud over tokenet
Ud over ChatGPT-sessionstokenet sendes følgende data til tredjepartsserveren:
- Udvidelsesmetadata (version, lokalitet, klient-id'er)
- Brugstelemetri og hændelsesdata
- Backend-udstedte adgangstokens brugt af udvidelsestjenesten
Disse data giver angriberen mulighed for yderligere at udvide adgangstokens og muliggør vedvarende brugeridentifikation, adfærdsprofilering og langvarig adgang til tredjepartstjenester. Når disse dataelementer kombineres, kan de bruges til at korrelere aktivitet på tværs af sessioner, udlede brugsmønstre og opretholde løbende adgang ud over en enkelt browserinteraktion, hvilket øger både indvirkningen på privatlivets fred og den potentielle sprængningsradius af misbrug eller kompromittering af den understøttende infrastruktur.
Kampagneomfang og distribution
Ud af de 16 identificerede udvidelser i denne kampagne, 15 blev distribueret via Chrome Web Store, mens én udvidelse blev udgivet via Microsoft Edge Add-ons Marketplace.I skrivende stund er alle identificerede udvidelser stadig tilgængelige i deres respektive butikker.
De fleste udvidelser i kampagnen viser relativt lave individuelle installationsantal, hvor kun en lille delmængde når højere udbredelse. Vi håber hos LayerX, at kampagnen med denne publikation stoppes på et tidligt stadie med minimal effekt.
Infrastruktur- og kampagneindikatorer
Flere indikatorer tyder på, at disse udvidelser er en del af en én koordineret kampagnesnarere end uafhængige udviklingsindsatser:
- En delt, minimeret kodebase, der genbruges på tværs af flere udvidelses-ID'er
- Konsistente udgiverkarakteristika, på trods af brugen af flere lister
- Meget lignende ikoner, branding og beskrivelser
Figur 4. Visuelle ligheder
- Batchuploads, med flere udvidelser udgivet på de samme datoer
- Synkroniserede opdateringstidslinjer, hvor flere udvidelser opdateres samtidigt
- Delt backend-infrastruktur, hvor alle udvidelser kommunikerer med det samme domæne
- Overlappende legitim funktionalitet, der styrker den opfattede troværdighed
Tidlig detektion via Extension Intelligence
LayerX Research var i stand til at identificere og tilskrive denne kampagne på et tidligt stadie gennem en kombination af AI-drevet browserudvidelsesdetektion og kodelighedsanalyse.
Specifikt muliggjorde vores detektionsfunktioner:
- Identifikation af delte, minificerede kodeartefakter på tværs af flere udvidelses-ID'er
- Korrelation af udvidelser med næsten identisk runtime-adfærd, på trods af forskellige navne og funktionsbeskrivelser
- Genkendelse af variantproliferationsmønstre, hvor flere udvidelser med overlappende funktionalitet udgives og opdateres i koordinerede batches
Disse signaler gjorde det muligt for os at gruppere udvidelserne i én kampagne før udbredt implementering, hvilket understreger vigtigheden af proaktiv indsigt i browserudvidelsesøkosystemer i takt med at AI-værktøjer fortsætter med at udvide sig.
Konklusion
Denne forskning fremhæver, hvordan browserudvidelser målrettet mod AI-platforme kan udnyttes til at opnå Adgang på kontoniveau via legitime sessionsmekanismeruden at udnytte sårbarheder eller implementere åbenlys malware.
Ved at kombinere MAIN-world-udførelse med autentificeringstoken-interception opnåede operatørerne vedvarende adgang til brugerkonti, samtidig med at de forblev inden for rammerne af standard webadfærd. Sådanne teknikker er særligt vanskelige at opdage ved hjælp af traditionelle endpoint- eller netværkssikkerhedsværktøjer.
Efterhånden som AI-platforme fortsat integreres i virksomheds- og personlige arbejdsgange, bør browserudvidelser, der interagerer med autentificerede AI-tjenester, behandles som højrisikosoftware og underlagt streng kontrol.
Indikatorer for kompromis (IOC'er)
Udvidelser
| ID | Udvidelsesnavn | installationer |
| lmiigijnefpkjcenfbinhdpafehaddag | ChatGPT-mappe, stemmedownload, prompthåndtering, gratis værktøjer - ChatGPT Mods | 605 |
| obdobankihdfckkbfnoglefmdgmblcld | ChatGPT stemme download, TTS download - ChatGPT Mods | 156 |
| kefnabicobeigajdngijnnjmljehknjl | ChatGPT pin chat, bogmærke - ChatGPT Mods | 18 |
| ifjimhnbnbniiiaihphlclkpfikcdkab | ChatGPT beskednavigator, historikrulle - ChatGPT Mods | 11 |
| pfgbcfaiglkcoclichlojeaklcfboieh | ChatGPT-modelskift, gem avanceret modelbrug - ChatGPT Mods | 11 |
| hljdedgemmmkdalbnmnpoimdedckdkhm | ChatGPT-eksport, Markdown, JSON, billeder - ChatGPT Mods | 10 |
| afjenpabhpfodjpncbiiahbknnghabdc | ChatGPT-tidsstempelvisning - ChatGPT-mods | 13 |
| gbcgjnbccjojicobfimcnfjddhpphaod | Massesletning af ChatGPT, Chatmanager - ChatGPT Mods | 11 |
| ipjgfhcjeckaibnohigmbcaonfcjepmb | ChatGPT søgehistorik, find specifikke beskeder - ChatGPT Mods | 11 |
| mmjmcfaejolfbenlplfoihnobnggljij | ChatGPT-promptoptimering - ChatGPT-mods | 10 |
| lechagcebaneoafonkbfkljmbmaaoaec | Skjult besked - ChatGPT Mods | 13 |
| nhnfaiiobkpbenbbiblmgncgokeknnno | Administration og skift af flere profiler - ChatGPT Mods | 0 |
| hpcejjllhbalkcmdikecfngkepppoknd | Søg med ChatGPT - ChatGPT Mods | 0 |
| hfdpdgblphooommgcjdnnmhpglleaafj | ChatGPT-tokentæller - ChatGPT Mods | 5 |
| ioaeacncbhpmlkediaagefiegegknglc | ChatGPT Prompt Manager, Mappe, Bibliotek, Automatisk Send - ChatGPT Mods | 5 |
| jhohjhmbiakpgedidneeloaoloadlbdj | ChatGPT Mods - Download af mappestemme og flere gratis værktøjer | 17 |
domæner
chatgptmods.com
Imagents.top
Emails
Taktik, teknikker og procedurer (TTP'er)
| Taktik | Teknik |
| Forsvarsunddragelse | LX7.011 (T1036) - Maskering |
| Forsvarsunddragelse | LX7.003 (T1140) - Kodeforvirring/fjernelse af forvirring |
| Adgang til legitimationsoplysninger | LX8.004 (T1528) - Stjæl applikationsadgangstoken |
| Udførelse | LX4.006 - Metodekapring |
Anbefalinger
Sikkerhedsprofessionelle, virksomhedsbeskyttelse og browserudviklere bør foretage følgende handlinger:
- Klassificer AI-integrerede udvidelser som privilegerede applikationer - Udvidelser, der integrerer med autentificerede AI-platforme, bør behandles som højrisiko-software med privilegier, da deres adgang til runtime-tilstand og godkendelsesartefakter overstiger adgangen til typiske browsertilføjelser.
- Implementer adfærdsbaserede udvidelsesovervågningsteknologier at detektere uautoriseret netværksaktivitet eller mistænkelig DOM-manipulation.