Chrome Web Store’da bulunan ‘Phantom Shuttle’ isimli iki uzantı, kullanıcı trafiğini ele geçirip hassas verileri çalan kötü niyetli eklentiler olarak ortaya çıktı. Araştırmacılar, bu uzantıların 2017’den beri aktif olduğunu ve hala Chrome’un resmi pazaryerinde mevcut olduğunu belirtiyor.
Kötü Niyetli Uzantıların Özellikleri
Phantom Shuttle uzantılarının hedef kitlesi, Çin’deki bağlantıları test etmek isteyen yabancı ticaret çalışanları dahil olmak üzere, Çin’deki kullanıcılar. Bu uzantılar, kullanıcıların trafiğini yönlendirme ve ağ hızını test etme işlevini vaat ediyor. Yayıncıların, bu uzantıları 1.4 ile 13.6 dolar arasında bir abonelik ücreti ile sunduğu bildirildi.
Kullanıcı Verilerinin Çalınması
Socket.dev araştırmacıları, Phantom Shuttle uzantılarının tüm web trafiğini, tehdit aktörleri tarafından kontrol edilen proxy’ler üzerinden yönlendirdiğini ortaya koydu. Bu eklentiler, jQuery kütüphanesine yerleştirilmiş kötü niyetli bir kod içeriyor. Bu kod, proxy kimlik bilgilerini saklamak için özel bir karakter indeksi kodlama şeması kullanıyor.
Uzantılar, her web sitesindeki HTTP kimlik doğrulama taleplerini kesintiye uğratma yeteneğine sahip. Kullanıcı trafiğini otomatik olarak saldırgan proxy’si üzerinden yönlendirmek için Chrome’un proxy ayarlarını dinamik olarak yeniden yapılandırıyorlar. “Smarty” modunda, 170’ten fazla yüksek değerli alanı proxy ağı üzerinden yönlendirdiği bildirilmiştir.
Riskler ve Kullanıcı Tavsiyeleri
Bu eklentiler, ‘man-in-the-middle’ (ortada adam) saldırıları gerçekleştirerek kullanıcıdan herhangi bir form verisini (kimlik bilgileri, kart detayları, parolalar, kişisel bilgiler) çalabiliyor. Ayrıca, HTTP başlıklarından oturum çerezleri çalıyor ve API token’larını isteklerden çıkartarak güvenliği tehdit ediyor.
BleepingComputer, bu uzantıların hâlâ Web Store’da mevcut olmasıyla ilgili olarak Google ile iletişime geçti, ancak henüz bir yanıt alınamadı.
Chrome kullanıcıları, yalnızca güvenilir yayıncılardan uzantılar yüklemeye, birden fazla kullanıcı incelemesi kontrol etmeye ve kurulum sırasında talep edilen izinlere dikkat etmeye teşvik ediliyor. Kullanıcıların, uzantıların kökenine dair şüpheleri varsa, bu tür uzantılardan uzak durması büyük önem taşıyor.
Sonuç
Bu tür kötü niyetli uzantıların varlığı, internette güvenliğin ne denli önemli olduğunu bir kez daha gözler önüne seriyor. Kullanıcılar, ziyaret ettikleri web sitelerine ve kullandıkları tarayıcı eklentilerine dikkat etmelidir. Özellikle önemli verilerin paylaşımı söz konusu olduğunda, dikkatli olmak esastır.
