anonym.legal
Zpět na blogBezpečnost AI

Škodlivé rozšíření Chrome 900k uživatelů...

Kompletní chronologie jak dvě škodlivá rozšíření Chrome se označením Doporučeno kradla AI konverzace od 900 000 uživatelů. Technická analýza a ochrana.

March 8, 20268 min čtení
Chrome extension securitymalicious extensionChatGPT privacyAI data protection

Chronologie útoku: Červenec 2025 – Prosinec 2025

Útok na rozšíření Chrome byl jeden z nejdelších a nejúspěšnějších útoků na dodavatelský řetězec roku 2025. Zde je kompletní chronologie.

Červenec 2025: Základy položeny

Útočníci (přisuzováni státem sponzorované skupině) vydali dvě zdánlivě legitimní rozšíření Chrome:

  • „AI Productivity Assistant" (1,2 MB, legitimní produktivita funkce)
  • „Smart Tab Manager" (0,8 MB, základní správa záložek)

Obě rozšíření:

  • Měla reálné pozitivní uživatelské recenze (generovány botů)
  • Fungovala přesně jak popsáno
  • Požadovala oprávnění, která se zdála přiměřená jejich deklarované funkci

Srpen–Říjen 2025: Tichá výzva

Rozšíření sbírala uživatele – bez jakékoli škodlivé aktivity. Toto bylo záměrné: malware autoři věděli, že Chrome bezpečnostní tým monitoruje nová rozšíření po vydání.

V říjnu 2025, jakmile rozšíření překročila 100 000 uživatelů a procházela bez aktivní monitorace:

  • „AI Productivity Assistant" dostalo od Googlu označení „Doporučeno"
  • Toto urychlilo adoptci do 300 000+ uživatelů

Listopad 2025: Aktivace

Prostřednictvím zakódovaného mechanismu „živé aktualizace" (legální funkce Chrome MV3) útočníci potichu aktivovali škodlivý payload:

Zachytávání ChatGPT: JavaScript injektovaný do chat.openai.com a chatgpt.com:

  • Přechytil funkci odeslání formuláře
  • Extrahoval text vstupu před odesláním
  • Extrahoval text odpovědi po přijetí

Zachytávání DeepSeek: Podobný injection do chat.deepseek.com

Exfiltrace: Každých 30 minut, konverzační data:

  • Šifrovaná s AES-128 (klíč v kódu rozšíření)
  • Odeslaná přes HTTPS POST na analytics.productivityapi[.]com (C2 infrastruktura)
  • Smazaná z lokálního storage

Prosinec 2025: Odhalení

OX Security výzkumníci zjistili anomálii: rozšíření dělala sítová volání na neznámou doménu každých 30 minut.

Statická analýza kódu rozšíření odhalila:

  • Zakódovaný JavaScript pro vstřikování
  • AES klíč v prostém textu v obfuskovaném kódu
  • C2 doménový seznam v base64 zakódované stringy
  1. prosince 2025, Google odstranil obě rozšíření a je vypnul vzdáleně.

Technická analýza: Jak byl útok proveden

Fáze 1: Legitimita

Klíč k úspěchu byl vybudovat legitimní reputaci před aktivací malware. Útočníci investoval měsíce ve vytváření fungujících nástrojů produktivity s reálnou uživatelskou základnou.

Fáze 2: Live Update mechanismus

Chrome Manifest V3 zakazuje vzdálené spouštění kódu – ale nezakazuje načítání konfigurace ze vzdálených serverů. Útočníci zneužili tuto mezeru prostřednictvím:

  • Rozšíření pravidelně načítalo „konfiguraci" ze vzdáleného serveru
  • „Konfigurace" obsahovala selektory CSS a event handlery pro cílové weby
  • Tyto byly aplikovány lokálně – technicky ne vzdálené spouštění kódu

Fáze 3: Minimální stopa

Zachytávání bylo navrženo pro minimální detekci:

  • Žádné znatelné zpomalení výkonu
  • Žádné viditelné UI změny
  • Exfiltrace míchána do legitimního síťového provozu (HTTPS)
  • Data smazána po exfiltraci

Proč Googlem „Doporučeno" selhalo

Googlem „Doporučeno" program vyžaduje:

  • Dodržení zásad Web Store
  • Funkcionální splnění deklarovaných funkcí
  • Minimální negativní zpětnou vazbu

Výslovně neaudituje:

  • Runtime chování po aktualizaci
  • Síťové volání na třetí strany
  • Bezpečnost zachytávaných dat

Toto odhaluje základní napětí: Chrome Web Store je navržen pro distribuci, ne jako bezpečnostní brána.

Dopady

Odhadovaný rozsah:

  • 900 000+ uživatelů s nainstalovanými rozšířeními
  • 5+ měsíců aktivní exfiltrace (Nov–Dic 2025)
  • Miliony konverzací AI ukradeno

Typy ukradených dat:

  • Firemní strategie sdílené s ChatGPT
  • Zdrojový kód sdílený pro přezkum
  • Zákaznická data vložena pro analýzu
  • Lékařské informace diskutovány s AI

Technická obrana

Síťová úroveň

Podnikové sítě mohou blokovat neznámé domény používáním DNS filtrování. C2 infrastruktura tohoto útoku používala registrované domény – ale anomální síťové vzory mohly být detekovány.

Endpoint Detection

EDR (Endpoint Detection and Response) řešení schopná monitorovat rozšíření chování mohla detekovat:

  • Pravidelné síťové volání na neznámé domény
  • JavaScript injekce do cílových webů
  • Neobvyklé storage přístupy

Preventivní: Anonymizovat před odesláním

Nejrobustnější obrana: zajistit, že citlivá data nikdy nevstoupí do chatovacích rozhraní v identifikovatelné formě.

Pokud útočníci zachytí [PERSON_1] z [COMPANY_1] diskutoval [TOPIC_1] – nemají žádné použitelné zpravodajství.

Závěr

Útok na 900k uživatelů Chrome Extension je varováním pro každého, kdo důvěřuje „bezpečným" označením na rozšíření prohlížeče. Útočníci jsou trpěliví, sofistikovaní a specificky cílí na AI pracovní postup kde je zahrnutí dat vysoké.

Skutečná obrana kombinuje:

  1. Síťové monitorování anomálního chování
  2. Minimalizaci nainstalovaných rozšíření
  3. Preventivní anonymizaci dat před vstupem do AI chatů

Související články

Bezpečnost AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Bezpečnost AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Bezpečnost AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Připraveni chránit svá data?

Začněte anonymizovat PII s více než 285 typy entit ve 48 jazycích.

Začít bezplatnou zkušební verziZobrazit funkce