Kwaadaardige Chrome-extensies vermommen zich als proxydienst

dinsdag, 23 december 2025 (14:55) - Techzine

In dit artikel:

Twee kwaadaardige Chrome-extensies onder de naam Phantom Shuttle, actief sinds 2017 en nog steeds aanwezig in de officiële Chrome Web Store, blijken geen proxydiensten maar datadiefstaltools. Securityplatform Socket ontdekte de extensies; ze mikken vooral op gebruikers in China, onder wie handelaren die verbindingen tussen verschillende locaties willen testen. De extensies werden als betaalde maandabonnementen aangeboden en zijn gepubliceerd onder dezelfde ontwikkelaarsnaam.

In plaats van alleen verkeer te proxyen, leiden de extensies al het webverkeer via door de aanvallers gecontroleerde proxyservers. Toegang gebeurt met hardcoded inloggegevens die in de code zijn verborgen — onder meer door manipulatie van een legitieme jQuery-bibliotheek en speciale character-index encodering. Een listener onderschept HTTP-authenticaties en kan zo formuliergegevens, wachtwoorden, kaartgegevens, sessiecookies en zelfs API-tokens bemachtigen.

De extensies passen Chrome’s proxyinstellingen dynamisch aan met een auto-configuration (PAC) script. In de standaard “smarty”-modus worden meer dan 170 hoogwaardige domeinen via het malafide proxynetwerk gerouteerd, waaronder ontwikkelplatforms, clouddienstconsoles en social media. Lokale netwerken en het command-and-control-domein blijven ongemoeid om detectie te bemoeilijken.

Het voorval illustreert opnieuw het risico van onbetrouwbare browserextensies. Eerder dit jaar haalde Google al schadelijke extensies uit de Web Store (januari 2025), en grootschalige, langdurige campagnes zoals die van ShadyPanda toonden aan hoe uitgebreid misbruik kan zijn. Google is door onderzoekers benaderd over Phantom Shuttle maar heeft nog niet gereageerd.

Aanbevelingen: verwijder verdachte extensies, controleer welke rechten ze hebben, installeer alleen bij vertrouwde uitgevers, lees meerdere gebruikersreviews en wees terughoudend met het automatisch toestaan van permissies. Overweeg daarnaast beveiligingsbeleid of beheertools voor extensiebeheer in organisaties.