Złośliwe rozszerzenia „Phantom Shuttle” w Chrome Web Store kradną dane logowania: jak działają i co zrobić teraz - Security Bez Tabu

Złośliwe rozszerzenia „Phantom Shuttle” w Chrome Web Store kradną dane logowania: jak działają i co zrobić teraz

Wprowadzenie do problemu / definicja luki

Rozszerzenia przeglądarki to dziś pełnoprawne „mini-aplikacje” działające w zaufanym kontekście przeglądarki. Gdy takie rozszerzenie przejmie ruch lub uzyska nadmiarowe uprawnienia, staje się świetnym narzędziem do kradzieży danych: od haseł i ciasteczek sesyjnych po tokeny API.

Na tym tle szczególnie niepokojący jest przypadek dwóch rozszerzeń Chrome z Web Store o tej samej nazwie „Phantom Shuttle”, które podszywają się pod narzędzie proxy/speed-test, a w rzeczywistości przechwytują ruch i wykradają wrażliwe informacje.

W skrócie

  • Dwa rozszerzenia „Phantom Shuttle” działały co najmniej od 2017 r. i w momencie publikacji raportów były dostępne w Chrome Web Store.
  • Mechanizm nadużycia polega na wymuszeniu trasowania ruchu przez kontrolowane przez atakującego proxy oraz na przechwytywaniu danych uwierzytelniających i sesyjnych.
  • Tryb „smarty” kieruje ruch z ponad 170 domen (dev/cloud/social itd.) przez infrastrukturę napastnika.
  • To nie jest incydent „jednorazowy”: kampanie złośliwych/„uśpionych” rozszerzeń w oficjalnych sklepach powracają falami.

Kontekst / historia / powiązania

Socket (supply-chain security) opisał dwa warianty „Phantom Shuttle”, kierowane głównie do użytkowników w Chinach (m.in. developerów i osób z branży handlu zagranicznego), sprzedawane w modelu subskrypcyjnym, co zwiększa wiarygodność „produktu”.

Warto spojrzeć szerzej: organizacje akademickie i zespoły bezpieczeństwa zwracały uwagę, że w Chrome Web Store zdarzały się już kampanie, w których złośliwy kod pojawiał się w aktualizacjach (np. po przejęciu kont deweloperów przez phishing), co pozwalało na kradzież haseł i cookies „przez oficjalny kanał”.
Podobny schemat „zaufane rozszerzenie → aktualizacja → nadużycie” jest też opisywany jako model „sleeper agents” w ekosystemie dodatków przeglądarkowych.

Analiza techniczna / szczegóły luki

1) Podszywanie się pod narzędzie proxy/VPN

„Phantom Shuttle” prezentuje funkcje typowe dla narzędzi do testowania łączności i przełączania węzłów proxy. Według Socket całość jest „opakowana” w działający interfejs, logowanie i płatności — co obniża czujność ofiary.

2) Wstrzyknięcie poświadczeń do wyzwań HTTP auth (onAuthRequired)

Kluczowy element to rejestracja nasłuchu na zdarzeniach uwierzytelniania (API Chrome webRequest.onAuthRequired) i automatyczne podstawienie twardo zakodowanych danych logowania do proxy. Socket wskazuje też na prostą warstwę zaciemniania (encoding indeksowy) ukrywającą te dane w kodzie.

Efekt: użytkownik nie widzi „podejrzanego” promptu, a przeglądarka wchodzi w tryb komunikacji z proxy kontrolowanym przez atakującego.

3) Dynamiczna rekonfiguracja proxy przez PAC i tryb „smarty”

Po aktywacji (m.in. po płatności / statusie VIP) rozszerzenie ustawia proxy przy pomocy PAC (Proxy Auto-Configuration) script i oferuje tryby pracy, z których najbardziej „wartościowy” dla atakującego jest „smarty”: selektywnie kieruje ruch z listy 170+ domen przez infrastrukturę napastnika, z jednoczesnym wykluczeniem adresów prywatnych i własnej domeny C2 (żeby nie „odciąć” kanału sterowania).

4) Kanał C2 i „heartbeat”

Socket opisuje mechanizm okresowego „bicia serca” (heartbeat) do serwera C2 oraz logikę zdalnych komend (np. wymuszenie wylogowania/wyłączenia proxy w określonych stanach).

5) Identyfikatory rozszerzeń (ważne dla blokad)

The Hacker News podaje identyfikatory dwóch dodatków „Phantom Shuttle”, co jest praktyczne przy blokowaniu na poziomie polityk:

  • fbfldogmkadejddihifklefknmikncaj (ok. 2000 użytkowników, publikacja 26.11.2017)
  • ocpcmfmiidofonkbodpdhgddhlcmcofd (ok. 180 użytkowników, publikacja 27.04.2023)

Praktyczne konsekwencje / ryzyko

  • Kradzież danych logowania i przejęcia kont: gdy ruch idzie przez cudze proxy, rośnie ryzyko przechwycenia haseł wpisywanych w formularzach, a także danych sesyjnych i tokenów.
  • Ryzyko dla firm (dev/cloud/CI/CD): kierowanie ruchu z domen typu GitHub, panele chmurowe czy usługi developerskie przez infrastrukturę atakującego tworzy scenariusz przejęć repozytoriów, sekretów, tokenów API i kont administracyjnych.
  • Trudniejsze wykrycie: rozszerzenie może działać „użytecznie” i wyglądać profesjonalnie (płatności, status VIP), przez co użytkownicy rzadziej je odinstalowują lub zgłaszają.
  • Wzorzec powtarzalny: kampanie złośliwych dodatków w oficjalnych sklepach (Chrome/Edge) obejmowały już miliony instalacji i często polegają na „uśpieniu” lub późniejszym wstrzyknięciu kodu.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników

  1. Sprawdź listę rozszerzeń i usuń wszystko, czego nie potrzebujesz (szczególnie narzędzia „VPN/proxy/speed test” o niejasnym pochodzeniu).
  2. Po usunięciu podejrzanego dodatku: zmień hasła do kont, na których mogłeś się logować w czasie używania rozszerzenia; rozważ też rotację tokenów (API, sesje) tam, gdzie to możliwe. (To zalecenie jest spójne z praktyką reagowania opisaną w komunikatach o kampaniach extensions).
  3. Włącz MFA wszędzie, gdzie się da; przy krytycznych kontach preferuj metody odporne na phishing (np. klucze FIDO2).

Dla organizacji (IT/SecOps)

  1. Wymuś allowlistę rozszerzeń (a nie tylko blocklistę). CMU opisuje podejście oparte o polityki Chrome do blokowania skażonych dodatków i zarządzania instalacjami.
  2. Monitoruj zmiany ustawień proxy na stacjach roboczych i nietypowe PAC scripts (telemetria EDR + kontrola konfiguracji przeglądarki).
  3. Kontrola uprawnień rozszerzeń: przeglądarki często pozwalają ograniczać dostęp dodatku „tylko do wybranych stron” — to redukuje skutki błędu, nawet jeśli coś przejdzie przez weryfikację sklepu.
  4. Higiena kont deweloperskich i supply chain: kampanie często startują od phishingu kont twórców rozszerzeń i podmiany aktualizacji. Traktuj rozszerzenia jak zależności w łańcuchu dostaw.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • „Phantom Shuttle” vs. „sleeper agents”: w „sleeper agents” złośliwość bywa aktywowana dopiero po czasie/aktualizacji; tutaj mamy również długą obecność w sklepie, ale silny nacisk na „legalny” model subskrypcyjny i proxy jako rdzeń działania.
  • Kompromitacja kont deweloperów (scenariusz 2024 opisywany przez CMU) pokazuje, że nawet „kiedyś czyste” rozszerzenie może stać się zagrożeniem po przejęciu pipeline’u wydawniczego. To wzmacnia argument za allowlistą i monitoringiem zmian.

Podsumowanie / kluczowe wnioski

„Phantom Shuttle” to przykład, jak skutecznie można połączyć socjotechnikę (pozór komercyjnej usługi) z techniką (wymuszenie proxy + przechwytywanie uwierzytelniania + selektywne trasowanie 170+ domen). Najważniejsze praktycznie: traktuj rozszerzenia jak oprogramowanie o wysokim ryzyku — ograniczaj je do minimum, zarządzaj politykami w firmie i zakładaj, że „oficjalny sklep” nie jest gwarancją bezpieczeństwa.

Źródła / bibliografia

  1. BleepingComputer – „Malicious extensions in Chrome Web store steal user credentials” (23.12.2025). (BleepingComputer)
  2. Socket.dev (Kush Pandya) – „Malicious Chrome Extensions ‘Phantom Shuttle’…” (22.12.2025). (Socket)
  3. The Hacker News – „Two Chrome Extensions Caught Secretly Stealing Credentials…” (23.12.2025). (The Hacker News)
  4. Malwarebytes – „Millions of people spied on by malicious browser extensions…” (09.07.2025). (Malwarebytes)
  5. Carnegie Mellon University (ISO) – „Google Chrome Extensions Vulnerabilities” (opis kampanii z grudnia 2024). (Carnegie Mellon University)