Sammanfattning
Vår undersökning avslöjade en samordnad kampanj där flera Chrome-tillägg – initialt ofarliga och med orelaterade syften – omvandlades till fjärrstyrda verktyg för innehållsinjicering. Även om tilläggen verkade ofarliga och inte krävde några speciella behörigheter, modifierades vart och ett för att regelbundet ladda ner en konfigurationsfil från en angriparkontrollerad domän. Dessa dynamiska regler gjorde det möjligt för tilläggen att skriva över webbsidesinnehåll, injicera extern HTML och manipulera webbplatser som besökts av användaren utan att kräva en uppdatering av webbutiken.
Infrastrukturanalys avslöjade att tilläggens skadliga funktionalitet introducerades omedelbart efter ägarbyten i Chrome Web Store, ett mönster som observerats i flera fall. Parallellt registrerades de kommando- och kontrolldomäner (C2) som används för att leverera fjärrinstruktioner strax innan de komprometterade uppdateringarna publicerades, vilket tyder på överlagd förberedelse av angriparens infrastruktur. Konvergensen av identisk injektionslogik, delade arkitekturmönster, synkroniserade domänregistreringar och kodändringar efter förvärvet indikerar att dessa tillägg komprometterades och operationaliserades som en del av en samordnad, infrastrukturstödd kampanj snarare än isolerade incidenter.
teknisk analys
Medan varje tillägg uppvisade en unik godartad funktion, implementerade den interna koden samma högriskbeteenden. I alla analyserade tillägg möjliggjorde en återkommande dold mekanism dynamisk fjärrmanipulation av webbsidor. I det följande kommer vi att fokusera på skadligt beteende som kvarstår i alla upptäckta tillägg:
- Hämtning av fjärrkonfiguration
Varje tillägg kontaktade en extern server var 5:e minut för att ladda ner en ny konfigurationsfil (config.php eller theme.php).
Den här filen innehöll instruktioner som styr:
- Vilka webbplatser att rikta in sig på
- Vilka DOM-element som ska ändras
- Vilken fjärrnyttolast som ska injiceras
Figur 1. En Regex-matchning 'location.href'
Eftersom dessa konfigurationer kommer från angriparkontrollerade domäner kan tilläggets beteende ändras direkt, utan någon uppdatering via Chrome Web Store.
Denna design skapar effektivt en kommando- och kontrollkanal inuti webbläsaren.
- Dynamisk DOM-injektion
Den nedladdade konfigurationen definierade regler såsom:
- mönster – regex för att matcha riktade webbplatser
- väljare – element i DOM:en som ska skrivas över
- URL – fjärrslutpunkt som tillhandahåller injicerad HTML/text
- attr – DOM-egenskapen som ska ersättas (t.ex. innerHTML, src, href)
Figur 2. DOM-objektersättning
Tilläggen använde dessa regler för att hämta angriparkontrollerat innehåll och injicera det direkt på webbsidor:
Detta gör det möjligt för fjärrservrar att:
- Ersätt inloggningsformulär
- Infoga nätfiskeöverlägg
- Ändra ekonomiska sidor eller shoppingsidor
- Injicera annonser eller spårningsfyrar
- Ändra innehåll på sociala medier
Alla utan varningar, behörigheter eller användarinsynlighet.
- Ihållande manipulation via MutationObservers
För att säkerställa att webbplatsen inte kan ångra ändringar använder tillägget MutationObserver.
Detta applicerar kontinuerligt injicerat innehåll varje gång sidan uppdateras, vilket säkerställer ihållande och smygande manipulation.
Tilläggen delar en gemensam arkitektur utformad för att tillåta fjärrservrar att skriva om alla webbsidor som användaren besöker, tyst och upprepade gånger. Detta utgör ett mycket flexibelt och farligt ramverk för webbläsarmanipulation, maskerat som ofarliga verktyg.
Infrastrukturanalys
Vår undersökning avslöjade ett samordnat ekosystem av ägarskapsöverföringar av tillägg, snabbt provisionerade kommando- och kontrolldomäner (C2) och synkroniserade skadliga uppdateringar, starka indikatorer på att dessa tillägg komprometterades och operationaliserades som en del av en strukturerad kampanj snarare än isolerade händelser.
- Överföringar av äganderätt till utvidgade enheter och vapenanvändning efter förvärv
Historiska metadata från Chrome Web Store visar ett konsekvent mönster: tilläggen betedde sig väl tills kort efter att deras ägarskap byttes. I flera exempel observerade vi:
- En modifiering av den angivna ägaren eller utvecklaren av tillägget strax före den skadliga uppdateringen.
- Inga bevis på fjärrkonfigurationslogik i tidigare versioner.
- Ett plötsligt insättande av:
- Periodisk hämtning av fjärrkonfigurationsfiler
- Regeluppsättningar för DOM-omskrivning
- Beacon-anrop till install.php
- Stödkod som möjliggör ihållande innehållsmanipulation
Användarrecensioner bekräftar denna tidslinje och noterar oväntat beteende omedelbart efter dessa uppdateringar.
Detta överensstämmer med en känd strategi i kampanjer mot missbruk av tillägg: Hotaktörer köper tillägg med många installationer och efterutrustar dem med ett modulärt skadligt ramverk.
- Temporal koppling mellan C2-domänregistrering och skadliga uppdateringar
Analys av WHOIS-poster för den infrastruktur som används av tilläggen visar en slående tidsmässig korrelation.
Viktiga observationer:
- Domäner registrerades dagar till veckor innan de skadliga tilläggsversionerna publicerades.
- De skadliga uppdateringarna började fråga dessa domäner nästan omedelbart efter att de hade publicerats online.
- Domänerna delar liknande namngivningskonventioner och infrastrukturegenskaper, vilket tyder på centraliserad provisionering.
Detta mönster överensstämmer med att motståndare förbereder operativ infrastruktur omedelbart innan de aktiverar komprometterade tillägg.
- Rena kontra skadliga versioner
Kodjämförelser mellan tidigare och senare versioner belyser en tydlig brytpunkt:
Förkompromissförsök (godartade) versioner
- Innehöll endast den annonserade funktionaliteten (t.ex. bildredigering, videodetektering, DOI-extraktion).
- Inga externa konfigurationsresurser.
- Ingen dynamisk innehållsinjektion.
- Inga persistenta övervakningsmekanismer (t.ex. MutationObservers).
- Inga API:er för felsökning eller fingeravtryck.
Versioner efter kompromettering (skadliga)
- Lade till en loop för hämtning av fjärrkonfiguration (vanligtvis 5-minuters pollning).
- Introducerade instruktionsdriven DOM-manipulation med hjälp av regex-matchade regler.
- Inbäddad en återanvändbar injektionsmotor som kan skriva över godtyckligt sidinnehåll.
- Integrerade installationsfyrar för telemetri tillbaka till angriparkontrollerade domäner.
Figur 3. kbaofbaehfbehifbkhplkifihabcicoi före och efter
Differensen stöder starkt hypotesen om avsiktlig vapenförändring efter förvärv.
- Indikatorer på en delad verktygslåda eller en enhetlig hotbild
En jämförelse av korsförlängningar avslöjade en hög grad av strukturell likhet:
- Identiska pollningsintervall (300 sekunder).
- Nästan identisk logik för att analysera regler för fjärrkonfiguration.
- Konsekvent namngivning av fält som pathMatch, selector, applyMethod och resourceLink.
- Återkommande fjärrslutpunkter (config.php, theme.php, install.php).
- Liknande felundertryckningsmönster och tyst misslyckade fetch()-anrop.
- Matchande mönster i hur injicerat innehåll ersätter DOM-attribut.
| Tilläggs-ID | Ägarbyte | Domänregistrering | Skadlig version publicerad |
| kbaofbaehfbehifbkhplkifihabcicoi | 2025-07-19 | 2025-07-27 | 2025-07-30 |
| ijhbioflmfpgfmgapjnojopobfncdeif | 2025-07-23 | 2025-08-20 | 2025-08-27 |
| nimnhhcainjoacphlmhbkodofenjgobh | 2025-07-19 | 2025-08-20 | 2025-08-22 |
| jleonlfcaijhkgejhhjfjinedgficgaj | 2025-04-14 | 2025-08-22 | 2025-08-26 |
| pgfjnclkpdmocilijgalomiaokgjejdm | 2025-07-19 | 2025-08-13 | 2025-08-16 |
| eekibodjacokkihmicbjgdpdfhkjemlf | 2025-09-21 | 2025-09-23 | 2025-09-25 |
| ggjlkinaanncojaippgbndimlhcdlohf | 2024-09-25 | 2024-09-30 | 2024-10-11 |
| ncbknoohfjmcfneopnfkapmkblaenokb | 2024-12-13 | 2025-02-03 | 2025-02-07 |
Konvergensen mellan flera oberoende varumärken för tillägg tyder på en enda utvecklare av det skadliga ramverket, eller en kriminell tjänst som erbjuder en nyckelfärdig verktygslåda för vapenförädling av tillägg.
Infrastrukturen, tidslinjerna och kodbasrelationerna indikerar tillsammans en samordnad operation snarare än opportunistiskt eller orelaterat missbruk.
Decemberkampanjen 2025
LayerX Security övervakar kontinuerligt fall där tidigare skadliga webbläsartillägg utvecklas till skadliga. I december identifierade vi flera ytterligare tillägg publicerade av samma författare som övergick i skadligt beteende, vilket avslöjade en ny kampanj som fokuserar på att omvandla skadliga tillägg till aggressiv annonsprogramvara.
Tilläggen verkar initialt ofarliga och implementerar en enkel funktionalitet. Utöver denna deklarerade funktionalitet hämtar koden dock även en fjärrkonfiguration från en extern server. Denna konfiguration innehåller en lista över domäner där tillägget injicerar vilseledande aviseringar, där varje domän bäddar in en URL som driver infektionskedjan vidare.
Figur 4. Hämtad konfigurationsfil.
När en användare besöker en av dessa domäner visas omedelbart en skadlig avisering, vilket leder till ett "mänskligt verifieringssteg".
Figur 5. Falsk avisering.
Verifieringsknappen omdirigerar offret till efterföljande "inte en robot"-sidor som endast visar statiska bilder, medan ett skript i bakgrunden registrerar en servicearbetare, tar fingeravtryck av användarens enhet, webbläsare och operativsystem och överför denna information till pushtorm.net. Användaren uppmanas sedan att ge behörighet för aviseringar.
Figur 6. Tillståndsbegäran.
När tillägget väl har beviljats levererar det upprepade gånger påträngande annonser genom samma omdirigerings- och aviseringsmekanism för missbruk, vilket i praktiken utsätter användaren för ihållande och aggressivt annonsbeteende.
Slutsats
Vår analys visar att dessa tillägg inte var isolerade fall av skadligt beteende utan komponenter i ett samordnat och föränderligt distributionsramverk. Även om varje tillägg uppvisade en annan godartad funktion, delade de en gemensam fjärrstyrd injektionsmotor, identisk konfigurationslogik och en konsekvent 5-minuters pollingcykel.
Infrastrukturanalys visar vidare att de flesta utbyggnader beväpnad endast efter ägarbyten, och de angriparkontrollerade kommando- och kontrolldomänerna var registrerad strax före de skadliga uppdateringarnaDenna nära koppling tyder starkt på en avsiktlig, organiserad kampanj som förvärvar legitima tillägg och utrustar dem med en modulär verktygslåda för innehållsinjicering.
Tillsammans visar dessa resultat ett tydligt mönster: ett skalbart, centralt hanterat system utformat för att manipulera webbsidor, distribuera godtyckliga nyttolaster och utvecklas snabbt utan att kräva nya uppdateringar av webbutiken. Detta belyser en betydande blind fläck i nuvarande modeller för granskning av tillägg och understryker behovet av starkare upptäckt av beteenden vid fjärrkonfiguration och missbruk av tillägg efter förvärv.
IOCsen
Tilläggs-ID:n – För närvarande aktiva tillägg
| ID | Namn | installerar |
| kbaofbaehfbehifbkhplkifihabcicoi | PhotoExpress-redigerare | 5,000 |
| ijhbioflmfpgfmgapjnojopobfncdeif | Tillägget Canva för Chrome | Design-, konst- och AI-redigerare | 1,000 |
| nimnhhcainjoacphlmhbkodofenjgobh | Internetarkivsparare | 2,000 |
| jleonlfcaijhkgejhhjfjinedgficgaj | CapCut videoredigerare och nedladdare | 6,000 |
| pgfjnclkpdmocilijgalomiaokgjejdm | SnapConnect för Chrome | 2,000 |
| jnkmepoonohhfijlbajdphhinhkoefjn | HP Print Service Plugin
|
1,000 |
| gmmhcbmmnclgmmjimiiefhiagmpamdlb | Redigera vad som helst – Boosta vilken sida som helst | 780 |
| ooobfpifjkgeopllkalfgkbiefhooggl | Blooket Hacker Pro
|
2,000 |
| cehifnkfcddaeppdajpfldbpommggaca | Kahoot Hacker
|
1,000 |
| eggegjdejilddmnlglakcaigefefcdaf | Interaktiva filmer
|
350 |
Tilläggs-ID:n – Borttagna från butikstillägg
| ID | Namn | installerar |
| eekibodjacokkihmicbjgdpdfhkjemlf | Interaktiva filmer | 3,000 |
| ggjlkinaanncojaippgbndimlhcdlohf | PaperPanda — Få miljontals forskningsartiklar | 100,000 |
| ncbknoohfjmcfneopnfkapmkblaenokb | Vytal – Förfalska tidszon, geolokalisering, språk och säkerhet | 40,000 |
Domäner och support-e-postadresser
- themeassets.site
- pixmod.webbplats
- brightlogicassets.com
- safecloudassets.com
- lightwaveassets.com
- cascadepointassets.com
- getxmlppa.com
- syncxmlvyt.com
- interaktiva-fics.vercel.app
- blookethackerpro.vercel.app
- editanything3xmetoda.vercel.app
- hpext-9udj.vercel.app
- kahoot-ten-gamma.vercel.app
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
- [e-postskyddad]
TTP:er
| Taktik | Teknik |
| Resursutveckling | LX2.001(T1588) – Erhålla förmågor |
| Legitimationsåtkomst | LX8.008 – Nätverksmanipulering |
| Discovery | LX9.003 (T1082) – Systeminformationsupptäckt |
| Command and Control | LX11.004 – Upprätta nätverksanslutning |
| Inverkan | LX13.004.1 (T1565) – Datamanipulation: Innehållsmanipulation |
Åtgärder och begränsningar
För användare
-
Ta bort tillägg som laddar fjärrkonfigurationsfiler – allt som hämtar config.php eller theme.php från okända servrar är en risk.
-
Undvik tillägg som modifierar webbinnehåll utan tydlig motivering – DOM-omskrivning + fjärrinnehåll = hög risk.
-
Föredra välkända utvecklare med gott rykte – undvik tillägg som är "nya", "okända" eller har fått få recensioner.
-
Granska tilläggsaktivitet med Chromes inbyggda tilläggsverktyg – leta efter oväntade nätverksanslutningar.
För säkerhetsteam
-
Identifiera vanliga artefakter – Flagga tillägg som:
- Hämta konfigurationer för fjärrinjektion
- Använd tidsstämplade frågor för att kringgå cache
- Definiera injektionsregler med selektorer och mönster
- Använd MutationObservers aggressivt
- Använd Chrome Debugger API:er i onödan
-
Utför beteendetestning i sandlådan – Övervaka:
- DOM-ändringar
- Utgående nätverkssamtal
- Modifierade element
Tidpunkt för fjärrkonfigurationshämtningar
-
Blockera kända skadliga tillgångsdomäner – Övervaka domäner relaterade till dessa tilläggsfamiljer.
