À mesure que les outils d’IA générative comme ChatGPT, Claude, Gemini et Grok s’intègrent aux flux de travail quotidiens, les attaquants exploitent de plus en plus leur popularité pour diffuser des extensions de navigateur malveillantes.

Dans cette recherche, nous avons mis au jour un Campagne coordonnée d’extensions Chrome se faisant passer pour des assistants IA proposant des services de résumé, de chat, de rédaction et d’assistance Gmail.Bien que ces outils semblent légitimes en apparence, ils dissimulent une architecture dangereuse : au lieu d’implémenter les fonctionnalités essentielles localement, ils intègrent… interfaces distantes contrôlées par serveur Au sein des surfaces contrôlées par les extensions, ils agissent comme des proxys privilégiés, accordant à l’infrastructure distante un accès aux fonctionnalités sensibles du navigateur.

À travers 30 extensions Chrome différentes, publiés sous différents noms et identifiants d’extension et affectant plus de 260,000 XNUMX utilisateurs, nous avons observé le même base de code sous-jacente, mêmes permissions et même infrastructure backend.

Surtout, car une part importante des fonctionnalités de chaque extension est fournie par le biais de composants hébergés à distance, leur comportement lors de l’exécution est déterminé par modifications externes côté serveur, plutôt que par un code examiné lors de l’installation dans le Chrome Web Store.