Dvije maliciozne Chrome ekstenzije su uočene kako eksfiltriraju podatke iz pregledača, kao i razgovore korisnika sa ChatGPT-om i DeepSeek-om, navodi OX Security.
Predstavljajući se kao legitimna AITOPIA ekstenzija, ove dvije ekstenzije su zabilježile više od 900.000 preuzimanja, što je potencijalno ugrozilo isto toliko korisnika.
Aplikacije, pod nazivima „Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” i „AI Sidebar with Deepseek, ChatGPT, Claude and more”, više nisu dostupne u Chrome Web Store-u.
Prema navodima OX Security-ja, ekstenzije su zloupotrebljavale AI platformu za web razvoj Lovable kako bi hostovale infrastrukturne komponente i anonimizovale svoje aktivnosti.
Legitimna AITOPIA ekstenzija, koju su imitirale, omogućava korisnicima da razgovaraju sa popularnim LLM modelima putem bočne trake iznad posjećenih web-sajtova.
Maliciozne aplikacije su kopirale originalnu ekstenziju i dodale kod koji je od korisnika tražio saglasnost za prikupljanje „anonimnih, neidentifikabilnih analitičkih podataka”, ali su umjesto toga krale kompletne ChatGPT i DeepSeek razgovore korisnika.
Obje ekstenzije su, kako navodi OX Security, prikupljale sve URL-ove iz Chrome tabova, pretrage, URL parametre koji sadrže sesijske tokene, korisničke ID-jeve i druge autentifikacione podatke.
Krađom URL-ova sa svih tabova u pregledaču, potencijalno su procureli interni korporativni domeni, čime su vjerovatno bili izloženi korporativna infrastruktura i alati, navodi OX Security.
U zavisnosti od načina na koji su pogođeni korisnici komunicirali sa LLM modelima, ekstenzije su potencijalno eksfiltrirale izvorni kod i razvojne upite, lične podatke (PII), osjetljive informacije poput povjerljivih podataka i pravnih pitanja, kao i poslovne strategije i planiranje.
„Ovi podaci mogu biti zloupotrijebljeni za korporativnu špijunažu, krađu identiteta, ciljane phishing kampanje ili prodaju na podzemnim forumima. Organizacije čiji su zaposleni instalirali ove ekstenzije možda su nesvjesno izložile intelektualnu svojinu, podatke o klijentima i povjerljive poslovne informacije”, navodi OX Security.
Korisnicima se savjetuje da što prije uklone maliciozne ekstenzije iz svog Chrome pregledača.
Izvor: SecurityWeek
