L’article de John Tuckner, publié le 9 juillet 2025, révèle comment la bibliothèque Mellowtel transforme les extensions de navigateur en un réseau de scraping web distribué, compromettant la sécurité des utilisateurs.
Mellowtel est une bibliothèque de monétisation qui permet aux développeurs d’extensions de navigateur de gagner de l’argent en utilisant la bande passante inutilisée des utilisateurs. Cependant, cette pratique soulève des préoccupations de cybersécurité, car elle transforme les appareils des utilisateurs en une armée de bots à leur insu.
L’intégration de Mellowtel dans une extension nécessite peu de permissions et peut être effectuée sans notification aux utilisateurs. Une fois activée, la bibliothèque utilise des websockets pour communiquer avec une fonction AWS Lambda, envoyant des informations sur l’appareil et recevant des requêtes de scraping.
Pour fonctionner, Mellowtel supprime des en-têtes de sécurité HTTP critiques, ce qui expose les utilisateurs à des attaques telles que le cross-site scripting. Les risques incluent la possibilité pour les utilisateurs de faire des requêtes web arbitraires et de servir de proxies dans des réseaux sensibles.
Les IOCs identifiés incluent plusieurs URLs AWS Lambda et le domaine request.mellow.tel. L’article souligne que Google a commencé à retirer certaines extensions contenant Mellowtel pour cause de malware, bien que la bibliothèque soit encore présente dans de nombreuses extensions sur différents navigateurs.
🔗 Source originale : https://secureannex.com/blog/mellow-drama/