Blog & Astuces

Un hacker tente de compromettre les extensions Chrome

Un hacker tente de compromettre les extensions Chrome

Billet

Je suis développeur d'une extension Chrome, Page Shadow. Cette extension est proposée sur le Chrome Web Store, en téléchargement.

An english version of this article is available here

Il y a quelques jours, j'ai reçu un e-mail alarmant m'informant que mon extension va être supprimée dans quelques jours du Chrome Web Store, car la technologie des extensions passe de Manifest v2 à Manifest v3. Jusqu'ici, c'est vrai, mais ce que ne dit pas l'e-mail, c'est que la transition va se faire en janvier 2023 : à cette date, les extensions Manifest v2 vont être supprimées. Mon extension, Page Shadow, est toujours sous Manifest v2 mais j'ai prévu une migration vers Manifest v3 avant la fin de l'année, pour éviter sa suppression.

L'e-mail est envoyé depuis [email protected], avec comme nom "Chrome-Automated-Dev-Tools"

email

Je n'ai aucune idée de comment ces personnes ont retrouvé mon adresse e-mail, car elle n'est pas reliée directement à mon extension

Un développeur non informé pourrait se laisser tenter, et cliquer sur le lien contenu dans l'e-mail.

Le lien renvoie vers une page web proposant de convertir l'extension vers Manifest v3.

Le domaine du site web est : vr3.space (2x3.one est aussi utilisé)

La page imite les sites web Google

site web

J'ai signalé à Google Safe Browsing l'URL contenue dans l'e-mail, mais la page web est toujours disponible.

Lorsque j'ai cliqué sur le lien, le site était déjà prêt avec l'extension, il suffisait de cliquer sur "Convertir" pour récupérer le fichier .zip de l'extension en version Manifest v3, convertie automatiquement.

Il s'avère que le site web injecte un code malveillant dans le code de l'extension. Je n'ai pas eu le temps de l'analyser en détails pour le moment, mais il s'agit d'un code JavaScript fortement obscurci et difficilement compréhensible (ce qui est anormal pour un outil de conversion) :

npm.js

Vous pouvez retrouver le script (nommé "npm.js") ici : Pastebin

Le script est directement chargé en tant que content_script depuis le fichier manifeste (fichier npm.js dans le même dossier) :

manifest.json

Il est ainsi possible (je n'en ai pas la certitude) qu'à partir d'extensions légitimes, les auteurs de ce logiciel malveillant volent des données d'utilisateurs : la portée est considérable. Un développeur pourrait convertir son extension via ce site web, et la publier en tant que mise à jour sur Chrome Web Store, ciblant les utilisateurs de sa propre extension.

Cependant, une analyse automatique est effectuée par Google lors de la publication de mises à jour d'extensions, et il est possible que ce logiciel malveillant soit déjà détecté, mais il n'est pas impossible qu'il passe entre les mailles du filet suite à une modification future.

Il est fort probable que de nouveaux e-mails soient envoyés à nouveau aux développeurs d'extensions Chrome (j'en ai reçu 2, pour ma part). Soyez ainsi très vigilants ! Les extensions Manifest v3 seront supprimées en janvier 2023, et non pas en 2022.

Il existe un convertisseur légitime de Manifest v2 vers Manifest v3, sur Github, par les développeurs de Google Chrome.

Commentaires