100개가 넘는 Chrome 확장 프로그램이 신원 데이터를 수집하고, 백도어 스타일의 브라우저 동작을 공개하고, 실시간 Telegram 웹 세션 데이터를 가져오는 대규모 캠페인에 연결되었습니다. 연구원들은 108개의 추가 기능을 동일한 제어 네트워크에 연결했으며, 결과가 게시되었을 때 Chrome 웹 스토어에서 약 20,000건의 설치가 기록되었습니다.
이 타격을 더 어렵게 만드는 것은 범위입니다. 확장 프로그램은 텔레그램 도구, 슬롯 및 키노 게임, 번역 유틸리티, YouTube 및 TikTok 도우미, 기본 페이지 도구로 표시되었으며, 이는 사람들이 별 생각 없이 설치하는 종류의 작업과 조화를 이루는 데 도움이 되었습니다. 여기에서 전체 목록을 확인하세요.
연구원들은 보고서가 올라왔을 때 확장 프로그램이 여전히 활성화되어 있었고 게시 중단 요청이 이미 접수된 상태였다고 말했습니다. 이는 한동안 추가 기능을 확인하지 않은 Chrome 사용자에게 이 이야기가 매우 실용적인 이점을 제공합니다.
최악의 행동은 모두 똑같지 않았다
피해는 한 가지 트릭에만 국한되지 않았습니다. 연구에 따르면 사용자가 로그인 버튼을 클릭한 후 54개의 확장 프로그램이 Google 계정 신원 정보를 수집했으며, 텔레그램 중심 확장 프로그램 중 하나는 15초마다 활성 텔레그램 웹 세션 데이터를 유출한 것으로 나타났습니다. 또 다른 45개에는 사용자가 그날 확장 프로그램을 열지 않았더라도 Chrome이 시작될 때마다 임의의 URL을 열 수 있는 루틴이 포함되어 있었습니다.

다른 추가 기능은 페이지에 오버레이, 광고 또는 스크립트를 삽입하기 전에 Telegram, YouTube 및 TikTok과 같은 사이트의 보안 보호 기능을 제거했습니다. 한 번역 도구는 제출된 텍스트를 운영자 서버를 통해 라우팅하여 단순한 도우미를 감시 위험으로 만들었습니다.
이것이 일반 Chrome 사용자를 걱정해야 하는 이유
더 큰 문제는 미끼가 얼마나 평범해 보였는가이다. 이것은 고급 사용자를 위한 모호한 도구가 아니었습니다. 목록에는 게임, 브라우저 도우미, 사이드바 클라이언트 및 번역 추가 기능이 포함되어 있었는데, 이는 상점 페이지가 세련되어 보이고 기능이 유용해 보이기 때문에 사람들이 얻는 추가 기능과 정확히 같습니다.

확장 프로그램은 일단 설치되면 배경으로 사라지는 경향이 있습니다. 이 경우, 연구원들은 혼합된 도구 모음에서 동일한 백엔드 인프라까지의 활동을 추적하여 무작위로 보이는 추가 기능 더미를 여러 가지 방법으로 데이터를 수집하거나 검색 경험을 변경하는 하나의 작업으로 전환했습니다.
지금 확장 프로그램을 확인하세요
가장 현명한 다음 조치는 Chrome에 설치된 항목, 특히 명확한 이유 없이 로그인 액세스를 요청한 Telegram, 경량 게임, 번역 또는 사이드바 유틸리티와 관련된 모든 항목을 감사하는 것입니다. 연구에서는 이름과 ID별로 108개의 확장 프로그램을 나열하고 일치하는 항목을 즉시 삭제할 것을 권장합니다.
가장 위험한 사례는 웹 세션 데이터를 반복적으로 유출하는 Telegram 확장 프로그램인 것으로 보입니다. 텔레그램 웹에 로그인한 상태에서 이를 사용한 사람은 모바일 앱에서 다른 텔레그램 세션을 종료해야 하며, Google에 연결된 확장 프로그램 중 하나에 로그인한 사용자는 계정 액세스를 검토하고 익숙하지 않은 항목을 취소해야 합니다.