Extensii periculoase în Chrome Web Store: cum îți pot fura conturile fără să-ți dai seama
:format(webp)/https://playtech.ro/wp-content/uploads/2025/11/split-view-google-chrome.jpg)
Faptul că o extensie este listată în Chrome Web Store îi dă automat un aer de „sigură”. Tocmai de aceea, un raport recent a stârnit îngrijorare: două extensii cu același nume, „Phantom Shuttle”, s-ar fi prezentat drept pluginuri pentru un serviciu de proxy, dar ar fi fost folosite pentru a deturna traficul utilizatorilor și a fura date sensibile, inclusiv credențiale de autentificare.
Detaliul cel mai neliniștitor este durata: extensiile ar fi fost active de cel puțin din 2017 și încă erau disponibile în marketplace-ul oficial la momentul la care cercetătorii au publicat concluziile. Ținta principală ar fi utilizatorii din China, inclusiv persoane din zona comerțului extern care testează conectivitatea din diverse regiuni, însă mecanismele descrise sunt suficient de generale încât să fie periculoase oriunde.
Cum se ascund extensiile în magazinul oficial
În prezentare, Phantom Shuttle apare ca un instrument legitim: promite funcții de proxy și testare de viteză a rețelei, iar accesul este împins spre un model cu abonament (într-un interval relativ mic, de la câțiva dolari până spre zona a zece-douăsprezece dolari). Astfel de extensii nu ridică imediat semne de întrebare pentru publicul larg, pentru că „proxy” și „speed test” sunt categorii comune, folosite inclusiv de profesioniști.
Raportul indică faptul că cele două extensii ar fi publicate sub același nume de dezvoltator, ceea ce poate crea impresia de „ecosistem” stabil. În realitate, o parte din pericol vine tocmai din această mască: dacă o extensie pare utilă, are o descriere coerentă și stă mult timp în magazin, utilizatorul ajunge să îi acorde încredere și să nu mai analizeze critic permisiunile cerute sau comportamentul din fundal.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1561646252/5cf4ee2e991c3761148849947bd547a5-t.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1561646252/20ea656a2c8596b1a6f09c51653683d1-t.jpg)
Un alt factor care ajută astfel de extensii să rămână „invizibile” este ambalarea codului malițios într-o zonă pe care mulți dezvoltatori o consideră banală: biblioteci comune. Conform analizei, codul periculos ar fi fost lipit (preprins) peste o bibliotecă populară precum jQuery, ceea ce face ca privirea rapidă peste fișiere să rateze exact partea care contează.
Ce pot fura și cum funcționează interceptarea traficului
Mecanismul descris este, pe scurt, un scenariu de „om la mijloc” (man-in-the-middle), în care extensia îți redirecționează traficul prin proxy-uri controlate de atacator. Cercetătorii spun că extensia ar fi avut acreditări de proxy codate direct în extensie (hardcoded), ascunse printr-o schemă de „codare” bazată pe indici de caractere. Scopul este să fie greu de identificat rapid ce servere folosește și cum se autentifică în rețeaua de proxy.
Partea cu adevărat agresivă este reconfigurarea dinamică a setărilor de proxy ale Chrome. Extensia ar folosi un script de auto-configurare (PAC) ca să forțeze browserul să trimită traficul prin infrastructura atacatorului fără ca tu să observi ceva evident, mai ales dacă te aștepți oricum la schimbări de rutare atunci când folosești un proxy.
În „modul” implicit descris (numit „smarty”), extensia ar direcționa prin proxy peste 170 de domenii considerate valoroase: platforme pentru dezvoltatori, console de servicii cloud, rețele sociale, dar și alte categorii de site-uri. În același timp, ar exista o listă de excluderi pentru rețele locale și pentru domeniul de comandă și control, tocmai ca să nu întrerupă funcționarea mediului local și să evite detecția sau „zgomotul” în comunicare.
Odată ce traficul trece prin acest „filtru”, riscurile cresc abrupt: extensia poate intercepta provocări de autentificare HTTP, poate captura date introduse în formulare (utilizator, parolă, informații personale, chiar detalii de plată), poate fura cookie-uri de sesiune din antete HTTP și poate extrage token-uri API din cereri. Cu alte cuvinte, nu e vorba doar de „parole”, ci de cheile care îți țin conturile deschise și îți dau acces la servicii fără să mai reintroduci credențiale.
Cum verifici dacă ești afectat și ce măsuri iei
Primul pas este să verifici lista de extensii instalate în Chrome și să cauți explicit orice extensie numită „Phantom Shuttle” sau orice extensie de proxy instalată „doar ca să încerci” și uitată acolo. Dacă vezi o extensie de proxy pe care nu o folosești zilnic sau nu știi exact de ce are nevoie de permisiuni extinse, scoaterea ei este cea mai rapidă reducere de risc. După dezinstalare, verifică setările de proxy din Chrome sau din sistemul de operare și revino la „fără proxy” dacă nu ai nevoie de el.
Apoi tratează incidentul ca pe o posibilă expunere de credențiale. Schimbă parolele pentru conturile importante (email, conturi cloud, conturi de dezvoltator, social media) și fă asta începând cu emailul principal, pentru că acolo se resetează restul. Dacă ai posibilitatea, activează autentificarea cu doi factori (2FA) și verifică sesiunile active: ieși din cont pe toate dispozitivele unde platforma îți permite, ca să anulezi cookie-urile furate.
Nu te limita la parole. Dacă folosești token-uri API (mai ales pentru servicii cloud sau platforme de dezvoltare), revocă token-urile vechi și generează altele noi. În multe scenarii, un token compromis este mai periculos decât o parolă, pentru că poate oferi acces automatizat la resurse, uneori fără alerte imediate. Verifică și istoricul de autentificări și activitățile recente: logări din locații neobișnuite, acțiuni administrative, schimbări de setări, aplicații conectate pe care nu le recunoști.
În final, schimbă modul în care alegi extensiile: uită-te atent la permisiuni (mai ales „citire și modificare a datelor pe toate site-urile”, „gestionare proxy”, „acces la trafic”), verifică reputația dezvoltatorului, caută semnale de întreținere reală (actualizări, descrieri clare, suport) și evită extensiile care îți promit „proxy universal” fără să explice transparent infrastructura și politica de date. Într-o lume în care browserul e practic poarta către conturile tale, o extensie de proxy instalată la întâmplare poate deveni, fără să-ți dai seama, cel mai scump „shortcut” pe care l-ai luat vreodată.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1737978465/7c0b0722046c09330ec77cad7ceec44c-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1737972417/45f32423472f20f892898ab0e9ea5639-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/01/1646818613/c97bb0d42c67eed69eb282a91fa2077f-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1683783849/053717fd532c0141f3d6072fad9a82d5-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2025/07/1610191967/574a47d5138ec492c884ec1a8a38e363-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/Cele-mai-ieftine-farmacii-din-Romania-unde-dai-mai-putini-bani-pe-medicamente-si-retete.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/Randare-Apple-iPhone-pliabil.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/Taxa-Temu-si-Shein-Romania-Ungaria.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/02/Baietelul-Liam-si-tatal-sau-s-au-intors-acasa-la-Minneapolis-dupa-ce-au-fost-eliberati-dintr-un-centru-de-detentie-din-Texas.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1561646252/5cf4ee2e991c3761148849947bd547a5-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/02/1561646252/20ea656a2c8596b1a6f09c51653683d1-o.jpg)