Une investigation menee par Socket a mis en lumiere un vaste reseau malveillant ayant utilise 108 extensions Chrome pour exfiltrer des donnees vers une infrastructure centralisee. Ces extensions, couvrant divers outils et applications, etaient secretement coordonnees par un seul operateur lie a cinq editeurs distincts, tous partageant des ressources Google Cloud. Environ 20 000 installations ont ete touchees par cette campagne, malgre les demandes de retrait adressees a Google par Socket.

Ce qu'il faut retenir

  • 108 extensions Chrome utilisees pour exfiltrer des donnees
  • Coordination secrete par un operateur unique lie a cinq editeurs distincts
  • Environ 20 000 installations affectees malgre les demandes de retrait

Un immense reseau malveillant decouvert

Une analyse menee par Socket a revele qu'un vaste reseau malveillant avait utilise 108 extensions Chrome en apparence anodines pour exfiltrer des sessions, identifiants Google et donnees de navigation vers une infrastructure centralisee. Ces extensions, presentes comme des outils pour divers services en ligne, appartenaient en realite a un meme ecosysteme malveillant. Cette decouverte fait suite a une publication de blog des equipes de recherche de Socket le 13 avril 2026.

Coordination secrete et controle unique

Les 108 extensions compromises etaient toutes liees a une infrastructure de commande et de controle unique, hebergee sous un meme domaine, et gerees par un seul serveur centralise. Ces extensions provenaient de cinq editeurs distincts, a savoir Yana Project, GameGen, SideGames, Rodeo Games et InterAlt, mais selon Socket, toutes etaient en realite pilotees par un seul operateur, sans distinction sur le fait qu'il s'agisse d'un groupe organise ou d'un pirate isole.

Preuves de l'existence d'un proprietaire commun

Les chercheurs de Socket ont mis en lumiere des elements concrets confirmant l'existence d'un proprietaire commun pour 54 extensions dediees au vol d'identifiants Google. Ces extensions partageaient leurs jetons OAuth2 entre deux seuls projets Google Cloud, laissant ainsi une empreinte indeniable d'un proprietaire unique. De plus, des adresses e-mail associees au nom "nadejdin" et des commentaires en russe dans le code source ont ete releves, renforcant l'hypothese d'une coordination centrale.

Et maintenant ?

La situation appelle a une vigilance accrue des utilisateurs quant aux extensions qu'ils installent sur leur navigateur. Les equipes de securite continueront de surveiller de pres de telles pratiques malveillantes pour proteger les utilisateurs contre de potentielles menaces.