Hem Blogg Hur vi upptäckte en kampanj med 16 skadliga tillägg byggda för att stjäla ChatGPT-konton

Hur vi upptäckte en kampanj med 16 skadliga tillägg byggda för att stjäla ChatGPT-konton


LayerX Research identifierade en samordnad uppsättning Chrome-webbläsartillägg som marknadsförs som Verktyg för förbättring och produktivitet av ChatGPT. I praktiken är dessa tillägg dock avsedda att stjäla användarnas ChatGPT-identiteter.Kampanjen består av minst 16 distinkta tillägg utvecklad av samma hotaktör, i syfte att nå så bred spridning som möjligt.

Denna kampanj sammanfaller med en bredare trend: snabb tillväxt i användningen av AI-drivna webbläsartillägg, som syftar till att hjälpa användare med deras dagliga produktivitetsbehov. Även om de flesta av dem är helt ofarliga, många av dessa tillägg imiterar kända varumärken för att vinna användarnas förtroende, särskilt de som är utformade för att förbättra interaktionen med stora språkmodeller. Eftersom dessa tillägg i allt högre grad kräver djupgående integration med autentiserade webbapplikationer, introducerar de en väsentligt utökad attackyta för webbläsare.

Vår analys visar att tillägg i den här kampanjen implementerar en gemensam mekanism som fångar upp ChatGPT-sessionsautentiseringstokens och överför dem till en tredjeparts backendInnehav av sådana tokens ger åtkomst på kontonivå motsvarande användarens, inklusive åtkomst till konversationshistorik och metadata. Som ett resultat kan angripare replikera användarnas åtkomstuppgifter till ChatGPT och utge sig för att vara dem, vilket gör att de får åtkomst till alla användarens ChatGPT-konversationer, data eller kod. 

Denna upptäckt understryker behovet för företag att övervaka och begränsa användningen av AI-tillägg från tredje part, eftersom de kan stjäla känslig information. 

Även om dessa tillägg inte utnyttjar sårbarheter i själva ChatGPT, möjliggör deras design sessionskapning och hemlig kontoåtkomst, vilket utgör en betydande säkerhets- och integritetsrisk.

Närvarande, ungefär 900 nedladdningar är kopplade till den här kampanjen -- en droppe i havet jämfört med Spökaffisch or RolyPoly VPNMen även om en attacks omfattning är en uppenbar indikator på dess relevans, är den inte den enda. GPT-optimerare är populära och det finns tillräckligt många högt rankade och legitima sådana i Chrome Web Store för att folk lätt ska missa varningstecken, och en av varianterna har en "utvald" logotyp som säger att den "följer rekommenderade metoder för Chrome-tillägg".

Det krävs bara en iteration för att ett skadligt tillägg ska bli populärt. Vi tror att GPT-optimerare snart kommer att bli lika populära som (inte mer än) VPN-tillägg, vilket är anledningen till att vi prioriterade publiceringen av denna analys. Vårt mål är att stänga ner det INNAN det når kritisk massa.

AI-webbläsartillägg som en framväxande attackyta

AI-fokuserade webbläsartillägg har blivit en vanlig arbetsflödeskomponent för användare som söker produktivitetsökningar från generativa AI-plattformar. Dessa verktyg kräver ofta:

  • Åtkomst till autentiserade AI-tjänster
  • Tät koppling till komplexa ensidiga applikationer
  • Förhöjda exekveringskontexter i webbläsaren

Som ett resultat är AI-tillägg unikt positionerade för att observera känsliga runtime-data, inklusive autentiseringsartefakter. Denna kombination av höga privilegier, användarförtroende och snabb implementering gör dem till en alltmer attraktiv vektor för missbruk.

De tillägg som analyserats i denna forskning visar hur AI-verktyg som ser legitima ut kan utnyttjas för att få permanent åtkomst till användarkonton utan att utnyttja programvarusårbarheter eller utlösa konventionella säkerhetskontroller.

teknisk analys

Avlyssning och exfiltrering av sessionstoken

Det primära säkerhetsproblemet som identifierats i kampanjen är avlyssning av ChatGPT-sessionstoken. 

För alla analyserade varianter (med ett undantag) implementerar tilläggen följande arbetsflöde:

  1. Ett innehållsskript injiceras i chatgpt.com och exekveras i sidans HUVUDSAKLIGA JavaScript-värld.
  2. Skriptet kopplar webbläsarens window.hämta funktion, vilket gör att den kan observera utgående förfrågningar initierade av ChatGPT-webbapplikationen.

Figur 1. Hooking av Fetch API

  1. När en begäran som innehåller en auktoriseringsrubrik upptäcks extraheras sessionstoken.

Figur 2. Extraktion av auktoriseringstoken

  1. Ett andra innehållsskript tar emot det här meddelandet och överför token till en fjärrserver.

Den här metoden gör det möjligt för tilläggsoperatören att autentisera mot ChatGPT-tjänster med hjälp av offrets aktiva session och hämta alla användares historikchattar och kopplingar (användarnas Google Drive, Slack, Git-hub och andra känsliga datakällor).  

HUVUDVÄRLD SKRIPTKÖRNING

Tilläggets skript för avlyssningsinnehåll kört i MAIN-världen:

Figur 3. MAIN World-inställning för innehållsskript

Exekvera innehållsskript i HUVUD JavaScript-världen möjliggör direkt interaktion med sidans inbyggda körtid, snarare än att fungera inom Chromes isolerade innehållsskriptmiljö.

Mer specifikt betyder detta tilläggskoden:

  • Körs ii samma exekveringskontext som själva webbapplikationen
  • Har åtkomst till samma JavaScript-objekt, funktioner och minnesstatus som används av sidan
  • Kan åsidosätta eller omsluta inbyggda API:er (t.ex. window.fetch, XMLHttpRequest, Promise, applikationsdefinierade funktioner)
  • Kan observera eller manipulera runtime-data som aldrig passerar nätverket eller DOM, inklusive:
    • autentiseringsrubriker före överföring
    • minnestokens och sessionsartefakter
    • applikationstillståndsobjekt som används av frontend-ramverket

Dataexponering bortom tokenet

Utöver ChatGPT-sessionstoken skickas följande data till tredjepartsservern:

  • Tilläggsmetadata (version, språk, klientidentifierare)
  • Användningstelemetri och händelsedata
  • Backend-utfärdade åtkomsttokens som används av tilläggstjänsten

Denna data gör det möjligt för angriparen att ytterligare utöka åtkomsttokens och möjliggör permanent användaridentifiering, beteendeprofilering och långvarig åtkomst till tredjepartstjänster. När dessa dataelement kombineras kan de användas för att korrelera aktivitet mellan sessioner, härleda användningsmönster och upprätthålla kontinuerlig åtkomst utöver en enda webbläsarinteraktion, vilket ökar både integritetspåverkan och den potentiella explosionsradien för missbruk eller kompromisser med den stödjande infrastrukturen.

Kampanjens omfattning och distribution

Av de 16 identifierade tilläggen i den här kampanjen, 15 distribuerades via Chrome Web Store, medan ett tillägg publicerades via Microsoft Edge Add-ons Marketplace.I skrivande stund är alla identifierade tillägg fortfarande tillgängliga i sina respektive butiker.

De flesta tillägg i kampanjen visar relativt låga individuella installationsantal, med endast en liten delmängd som når högre implementering. Vi på LayerX hoppas att med denna publicering stoppas kampanjen i ett tidigt skede med minimal påverkan.

Infrastruktur- och kampanjindikatorer

Flera indikatorer tyder på att dessa utvidgningar är en del av en enda samordnad kampanj, snarare än oberoende utvecklingsinsatser:

  • En delad, minimerad kodbas som återanvänds över flera tilläggs-ID:n
  • Konsekventa utgivaregenskaper, trots användning av flera listningar
  • Mycket liknande ikoner, varumärken och beskrivningar

Figur 4. Visuella likheter

  • Batchuppladdningar, med flera tillägg publicerade på samma datum
  • Synkroniserade uppdateringstidslinjer, med flera tillägg uppdaterade samtidigt
  • Delad backend-infrastruktur, där alla tillägg kommunicerar med samma domän
  • Överlappande legitim funktionalitet, vilket förstärker upplevd trovärdighet

Tidig upptäckt via Extension Intelligence

LayerX Research kunde identifiera och tillskriva denna kampanj tidigt genom en kombination av AI-driven webbläsartilläggsdetektering och kodlikhetsanalys.

Mer specifikt möjliggjorde våra detekteringsfunktioner:

  • Identifiering av delade, minifierade kodartefakter över flera tilläggs-ID:n
  • Korrelation av tillägg med nästan identiskt körtidsbeteende, trots olika namn och funktionsbeskrivningar
  • Igenkänning av variantproliferationsmönster, där flera tillägg med överlappande funktionalitet publiceras och uppdateras i samordnade batcher

Dessa signaler gjorde det möjligt för oss att klustra tilläggen till en enda kampanj innan de fick ett brett genomslag, vilket belyser vikten av proaktiv insyn i webbläsartilläggens ekosystem i takt med att AI-verktyg fortsätter att expandera.

Slutsats

Denna forskning belyser hur webbläsartillägg riktade mot AI-plattformar kan utnyttjas för att uppnå åtkomst på kontonivå via legitima sessionsmekanismer, utan att utnyttja sårbarheter eller distribuera öppen skadlig kod.

Genom att kombinera MAIN-world-exekvering med avlyssning av autentiseringstoken fick operatörerna permanent åtkomst till användarkonton samtidigt som de höll sig inom gränserna för standardbeteende på webben. Sådana tekniker är särskilt svåra att upptäcka med traditionella verktyg för slutpunkts- eller nätverkssäkerhet.

I takt med att AI-plattformar fortsätter att integreras i företags- och personliga arbetsflöden, bör webbläsartillägg som interagerar med autentiserade AI-tjänster behandlas som högriskprogramvara och utsattes för rigorös granskning.

Indikatorer för kompromiss (IOC)

förlängningar

ID Tilläggsnamn installerar
lmiigijnefpkjcenfbinhdpafehaddag ChatGPT-mapp, röstnedladdning, prompthanterare, gratisverktyg - ChatGPT Mods 605
obdobankihdfckkbfnoglefmdgmblcld ChatGPT röstnedladdning, TTS-nedladdning - ChatGPT Mods 156
kefnabicobeigajdngijnnjmljehknjl ChatGPT pin chat, bokmärk - ChatGPT Mods 18
ifjimhnbnbniiiaihphlclkpfikcdkab ChatGPT-meddelandenavigator, historikrullare - ChatGPT Mods 11
pfgbcfaiglkcoclichlojeaklcfboieh ChatGPT-modellbyte, spara avancerad modellanvändning - ChatGPT Mods 11
hljdedgemmmkdalbnmnpoimdedckdkhm ChatGPT-export, Markdown, JSON, bilder - ChatGPT-moddar 10
afjenpabhpfodjpncbiiahbknnghabdc ChatGPT-tidsstämpelvisning - ChatGPT-moddar 13
gbcgjnbccjojicobfimcnfjddhpphaod Massborttagning av ChatGPT, Chatthanterare - ChatGPT Mods 11
ipjgfhcjeckaibnohigmbcaonfcjepmb ChatGPT sökhistorik, hitta specifika meddelanden - ChatGPT Mods 11
mmjmcfaejolfbenlplfoihnobnggljij ChatGPT-promptoptimering - ChatGPT-moddar 10
lechagcebaneoafonkbfkljmbmaaoaec Komprimerat meddelande - ChatGPT Mods 13
nhnfaiiobkpbenbbiblmgncgokeknnno Hantering och växling av flera profiler - ChatGPT-moddar 0
hpcejjllhbalkcmdikecfngkepppoknd Sök med ChatGPT - ChatGPT-moddar 0
hfdpdgblphooommgcjdnnmhpglleaafj ChatGPT-tokenräknare - ChatGPT-moddar 5
ioaeacncbhpmlkediaagefiegegknglc ChatGPT Prompthanterare, Mapp, Bibliotek, Automatisk Skicka - ChatGPT Mods 5
jhohjhmbiakpgedidneeloaoloadlbdj ChatGPT-moddar - Nedladdning av mappröst och fler gratisverktyg 17

domäner

chatgptmods.com

Imagents.top

E-post

[e-postskyddad]

Taktik, tekniker och förfaranden (TTP)

Taktik Teknik
Försvarsflykt LX7.011 (T1036) - Maskerad
Försvarsflykt LX7.003 (T1140) - Kodförvirring/Deförvirring
Legitimationsåtkomst LX8.004 (T1528) - Stjäla applikationsåtkomsttoken
Utförande LX4.006 - Metodkapning

Rekommendationer

Säkerhetsexperter, företagsskydd och webbläsarutvecklare bör vidta följande åtgärder:

  • Klassificera AI-integrerade tillägg som privilegierade applikationer - Tillägg som integreras med autentiserade AI-plattformar bör behandlas som högriskprogramvara med privilegierad behörighet, eftersom deras åtkomst till körtidsstatus och autentiseringsartefakter överstiger den för typiska webbläsartillägg.
  • Distribuera beteendebaserade tilläggsövervakningstekniker för att upptäcka obehörig nätverksaktivitet eller misstänkt DOM-manipulation.