Fałszywe „AI” rozszerzenia do Chrome z ponad 300 tys. instalacji kradną hasła i treści e-maili (kampania AiFrame)

Wprowadzenie do problemu / definicja luki

Przeglądarkowe rozszerzenia (extensions) mają wyjątkowo „uprzywilejowaną” pozycję: mogą czytać i modyfikować treść stron, działać w tle, przechwytywać dane z kart, a czasem integrować się z konkretnymi serwisami (np. webmailem). To sprawia, iż są atrakcyjnym wektorem ataku — zwłaszcza gdy napastnicy podszywają się pod modne narzędzia „AI do produktywności”.

W kampanii nazwanej AiFrame wykryto 30 złośliwych rozszerzeń Chrome udających asystenty AI (m.in. pod marki/hasła typu ChatGPT, Gemini, Claude), których celem jest eksfiltracja danych uwierzytelniających, treści e-maili (w tym Gmail) oraz informacji o przeglądaniu.

W skrócie

• Zidentyfikowano 30 powiązanych rozszerzeń, łącznie z instalacjami liczonymi w setkach tysięcy (w zależności od metodologii raportów: >260k lub >300k).
• Wspólna infrastruktura C2/serwerowa opiera się o domenę tapnetic[.]pro i subdomeny tematycznie dopasowane do „udawanej” usługi.
• Kluczowy trik: rozszerzenia nie implementują „AI” lokalnie, tylko wyświetlają zdalny interfejs w iframe (pełnoekranowa nakładka), który może sterować zachowaniem dodatku bez ponownej weryfikacji w sklepie.
• Część wariantów ma dedykowany moduł do odczytu treści Gmail z DOM (również szkiców), uruchamiany bardzo wcześnie (document_start).

Kontekst / historia / powiązania

Badacze z LayerX opisują tę operację jako przykład „extension spraying”: wiele pozornie niezależnych dodatków (różne nazwy, grafiki, identyfikatory) tak naprawdę korzysta z tego samego kodu i backendu, co ułatwia przetrwanie takedownów — gdy jedna pozycja znika, inne przez cały czas są dostępne albo pojawiają się klony.

Raport wskazuje też na przypadek „re-uploadu”: usunięte rozszerzenie zostało po czasie opublikowane ponownie pod nowym ID, z tą samą logiką i tą samą infrastrukturą.

Analiza techniczna / szczegóły luki

1. Architektura „remote iframe” jako rdzeń produktu

W modelu AiFrame rozszerzenie renderuje pełnoekranowy iframe wskazujący na zewnętrzną domenę (np. subdomeny *.tapnetic[.]pro). To zdalna strona (kontrolowana przez operatora) pełni rolę UI i „mózgu” funkcji.

Konsekwencja jest krytyczna: operator może zmienić logikę po stronie serwera (UI, polecenia wysyłane do rozszerzenia, workflow kradzieży danych) bez publikowania aktualizacji i bez ponownego przechodzenia recenzji w Chrome Web Store.

2. Ekstrakcja treści stron i danych wrażliwych

LayerX opisuje mechanizm, w którym — na żądanie zdalnego iframe — rozszerzenie uruchamia skrypt treści (content script) i wyciąga „czytelną” treść strony z użyciem biblioteki Mozilla Readability, a następnie odsyła ją do zdalnego komponentu. To oznacza, iż do operatora mogą trafiać także dane z wewnętrznych paneli, stron za logowaniem czy aplikacji firmowych otwieranych w przeglądarce.

3. Specjalizacja pod Gmail: odczyt maili i szkiców

Warianty „Gmail cluster” mają osobny skrypt uruchamiany na mail.google.com od document_start, który:

• wstrzykuje elementy UI,
• utrzymuje się (np. obserwując zmiany DOM),
• czyta widoczną treść wątków przez .textContent, a według badaczy może również obejmować treści szkiców/komponowanych wiadomości.

Gdy użytkownik uruchamia „funkcje AI” (np. podsumowanie/odpowiedź), przechwycona treść jest przekazywana do logiki rozszerzenia i wysyłana do infrastruktury operatora poza granice bezpieczeństwa Gmail.

4. Dodatkowe możliwości: rozpoznawanie mowy

Raport wskazuje też na możliwość uruchamiania rozpoznawania mowy (Web Speech API) sterowanego zdalnie, a następnie odsyłania transkrypcji do operatora. Skala nadużycia zależy od uprawnień i interakcji użytkownika, ale sam fakt obecności takiej funkcji pokazuje, jak szeroki bywa „zasięg” złośliwych dodatków.

5. Dlaczego to przechodzi, skoro „remote hosted code” jest piętnowane?

Google od lat ogranicza tzw. remotely hosted code (RHC) w rozszerzeniach — czyli wykonywanie kodu pobieranego spoza paczki dodatku — i publikuje wytyczne, jak usuwać naruszenia tego typu.
AiFrame obchodzi „intuicyjne” oczekiwania użytkowników inną drogą: nie musi wprost „dociągać skryptów do wykonania”, jeżeli zdalny iframe może sterować zachowaniem rozszerzenia, które już ma przyznane uprawnienia w przeglądarce.

Praktyczne konsekwencje / ryzyko

Dla użytkownika indywidualnego:

• kradzież haseł / danych logowania (np. z formularzy i stron uwierzytelniania),
• wyciek treści e-maili (w tym szkiców), co często oznacza wyciek danych osobowych, finansowych lub poufnych rozmów,
• profilowanie aktywności i historii przeglądania.

Dla organizacji:

• ryzyko wycieku danych firmowych przeglądanych w aplikacjach SaaS/intranet,
• przejęcie kont (także służbowych) i eskalacja do BEC/phishingu z zaufanych skrzynek,
• trudniejsza detekcja: część logiki jest „po stronie serwera”, więc zachowanie może zmienić się z dnia na dzień.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (natychmiast)

1. Przejrzyj listę rozszerzeń: chrome://extensions → usuń wszystko, czego nie instalowałeś świadomie lub co wygląda jak „AI sidebar/assistant/translator” od nieznanego wydawcy.
2. Szukaj po ID rozszerzenia (jeśli masz je z raportu/alertu). BleepingComputer przytacza przykładowe ID/nazwy przez cały czas widoczne w sklepie w momencie publikacji (m.in. „AI Sidebar”, „AI Assistant”, „ChatGPT Translate” itd.).
3. Jeśli podejrzewasz kompromitację:
   • zmień hasła (priorytet: e-mail, bank, usługi firmowe, menedżer haseł),
   • włącz/odśwież MFA (aplikacja/U2F),
   • sprawdź sesje aktywne i wyloguj inne urządzenia,
   • przejrzyj reguły przekazywania/podpisy w skrzynce (częsty trik po przejęciu e-mail).

Dla firm / IT

1. Wdróż polityki zarządzania rozszerzeniami w Chrome (allowlist/denylist, blokada instalacji spoza listy, kontrola ID). Google opisuje mechanikę zarządzania politykami dla aplikacji i rozszerzeń (w tym identyfikację ID).
2. Monitoruj:
   • nietypowe rozszerzenia w środowisku,
   • anomalie logowania do poczty (nowe lokalizacje, niestandardowe klienty),
   • ruch do podejrzanych domen/back-endów (IOC z raportu).
3. Edukacja użytkowników: „AI w rozszerzeniu” ≠ „bezpieczne”, a „Featured”/duża liczba ocen nie gwarantuje uczciwości (LayerX wskazuje, iż część dodatków była choćby wyróżniana).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Klasyczne złośliwe rozszerzenia często:

• wstrzykują reklamy, przekierowania, skrypty kryptokopiące,
• kradną cookies/sesje lub wykonują keylogging.

AiFrame wyróżnia się modelem „remote UI + zdalne sterowanie”: użytkownik myśli, iż używa „AI”, a tak naprawdę udostępnia przeglądarce i danym „most” do infrastruktury operatora, która może ewoluować bez aktualizacji.

Podsumowanie / najważniejsze wnioski

• Kampania AiFrame pokazuje, iż moda na AI stała się paliwem dla masowych nadużyć w ekosystemie rozszerzeń.
• Najgroźniejszy element to zdalny iframe jako „rdzeń” funkcjonalności: zmiany po stronie serwera mogą całkowicie zmienić zachowanie dodatku bez kontroli typowej dla aktualizacji.
• Jeśli masz zainstalowane podejrzane „AI” dodatki, potraktuj to jak incydent: usuń rozszerzenie, rotuj hasła, zabezpiecz e-mail i sprawdź ślady nadużyć.

Źródła / bibliografia

• BleepingComputer — opis kampanii, liczba rozszerzeń, przykładowe nazwy/ID, zakres kradzieży danych. (BleepingComputer)
• LayerX — raport techniczny AiFrame (iframe, Gmail cluster, infrastruktura tapnetic[.]pro, IOC). (LayerX)
• Google Chrome Developers — „Deal with remote hosted code violations” (RHC) i powiązane wytyczne. (Chrome for Developers)
• Google Chrome Developers — Chrome Web Store Developer Program Policies. (Chrome for Developers)
• Google Support (Chrome Enterprise) — identyfikacja ID i stosowanie polityk dla aplikacji/rozszerzeń. (Google Help)