บริษัทความปลอดภัย Socket ตรวจพบส่วนขยาย Chrome มากกว่า 100 รายการใน Chrome Web Store ที่แอบขโมยข้อมูลผู้ใช้ ทั้งโทเคน OAuth2, ข้อมูลบัญชี และข้อมูลการท่องเว็บ โดยส่วนขยายเหล่านี้ถูกปล่อยภายใต้ชื่อผู้พัฒนาหลายรายและครอบคลุมหลายหมวดหมู่ ตั้งแต่เครื่องมือ Telegram, ส่วนเสริมเกม ไปจนถึงปลั๊กอิน YouTube และ TikTok หลายรายการยังคงเปิดให้ดาวน์โหลดอยู่ในร้านค้า ณ เวลาที่มีรายงาน
พบส่วนขยายอันตรายกว่า 100 รายการในแคมเปญเดียว
รายงานจาก Socket ระบุว่ามีส่วนขยาย Chrome มากกว่า 100 รายการ ที่กำลังพยายามขโมยข้อมูลสำคัญของผู้ใช้ เช่น Google OAuth2 bearer tokens ซึ่งสามารถใช้เข้าถึงบัญชีได้โดยไม่ต้องใช้รหัสผ่าน ส่วนขยายเหล่านี้ถูกปล่อยภายใต้ชื่อผู้พัฒนาหลายรายและอยู่ในหลายหมวดหมู่ ตั้งแต่เครื่องมือ Telegram, ส่วนเสริมเกม, ปลั๊กอิน YouTube/TikTok ไปจนถึงส่วนขยายแปลภาษา
โครงสร้างควบคุมจากระยะไกลและพฤติกรรมคล้ายมัลแวร์
Socket พบว่าส่วนขยายเหล่านี้เชื่อมต่อกับโครงสร้าง command‑and‑control (C2) เดียวกันที่โฮสต์บน VPS โดยมีหลายซับโดเมนทำหน้าที่ต่างกัน เช่น เก็บข้อมูล, จัดการเซสชัน และสั่งรันโค้ดจากระยะไกล บางส่วนขยายฉีดโค้ดลงในอินเทอร์เฟซของเบราว์เซอร์โดยตรง ขณะที่บางตัวใช้ Chrome API เพื่อดึงข้อมูลส่วนตัว เช่น อีเมล, โปรไฟล์ และรหัสบัญชี หนึ่งในกรณีที่รุนแรงที่สุดคือส่วนขยาย Telegram ที่ดึงข้อมูลเซสชันทุกไม่กี่วินาที และสามารถสลับบัญชีจากระยะไกลได้โดยที่ผู้ใช้ไม่รู้ตัว
หลายส่วนขยายยังคงออนไลน์ใน Chrome Web Store
แม้จะถูกแจ้งเตือนแล้ว แต่ส่วนขยายจำนวนมากยังคงเปิดให้ดาวน์โหลดใน Chrome Web Store ณ เวลาที่มีรายงาน ทำให้ผู้ใช้ถูกแนะนำให้ตรวจสอบส่วนขยายที่ติดตั้งอยู่ และลบรายการที่ไม่รู้จักหรือไม่น่าเชื่อถือออกทันที เหตุการณ์นี้ทำให้เกิดคำถามใหม่เกี่ยวกับความปลอดภัยของระบบส่วนขยายบนเบราว์เซอร์ยอดนิยมอย่าง Chrome แคมเปญนี้เป็นหนึ่งในเหตุการณ์ที่ใหญ่ที่สุดที่เกี่ยวข้องกับส่วนขยาย Chrome อันตราย โดยมีการขโมยข้อมูลระดับบัญชีและเซสชันที่อาจนำไปสู่การเข้ายึดบัญชีผู้ใช้ได้ ผู้ใช้ควรตรวจสอบส่วนขยายที่ติดตั้งอยู่เป็นประจำ และหลีกเลี่ยงการติดตั้งส่วนขยายจากผู้พัฒนาที่ไม่รู้จัก
วิธีเบื้องต้นในการตรวจสอบว่าส่วนขยาย Chrome น่าเชื่อถือหรือไม่
สำหรับผู้ใช้ทั่วไป การตรวจสอบส่วนขยายว่า “ปลอดภัย” หรือ “ควรลบออก” สามารถทำได้ด้วยขั้นตอนง่าย ๆ ไม่กี่อย่าง โดยไม่ต้องใช้เครื่องมือพิเศษใด ๆ
เกาะประเด็น: เปิดเผยวิธีช่วยบล็อกโฆษณา YouTube ระหว่างไลฟ์ แบบไม่ต้องเสียเงิน — แค่ต้องร่วมมือกัน
เริ่มจากการดู ชื่อผู้พัฒนา และ จำนวนผู้ใช้งานจริง หากเป็นส่วนขยายที่มีผู้ใช้เพียงหลักร้อยหรือหลักพัน และมาจากผู้พัฒนาที่ไม่คุ้นเคย ควรระวังเป็นพิเศษ
อีกอย่างที่ควรดูคือ รีวิวล่าสุด หากมีผู้ใช้หลายคนเริ่มรายงานพฤติกรรมผิดปกติ เช่น เด้งโฆษณาเอง เปิดแท็บแปลก ๆ หรือขอสิทธิ์เข้าถึงข้อมูลมากเกินจำเป็น นั่นเป็นสัญญาณที่ควรลบออกทันที
สุดท้ายคือการตรวจสอบ สิทธิ์ที่ส่วนขยายร้องขอ หากส่วนขยายที่ควรทำงานเฉพาะด้าน เช่น ตัวช่วยดูวิดีโอ แต่กลับขอสิทธิ์อ่านข้อมูลทุกเว็บไซต์ที่เปิดอยู่ ก็ถือว่าเสี่ยงและควรหลีกเลี่ยง
ที่มา : appdisqus.com / เผยแพร่วันที่ 16 เม.ย.69
Link : https://www.appdisqus.com/malicious-chrome-extensions-100-plus-data-theft
