Selon SQRX Labs, des chercheurs ont dévoilé une campagne coordonnée impliquant trois extensions Chrome malveillantes — Axiom Enhancer, Photon Bot et Trenches Agent — visant des plateformes de trading de cryptomonnaies. Les extensions étaient disponibles sur le Chrome Web Store au moment de la publication.

Les chercheurs ont d’abord découvert Axiom Enhancer en train de voler des cookies d’authentification et des données localStorage d’utilisateurs d’axiom.trade. Un pivot de domaines a révélé Photon Bot utilisant la même infrastructure, puis l’analyse des métadonnées a conduit à Trenches Agent, un framework plus sophistiqué et multi-cibles. Ce dernier récolte des identifiants sur plusieurs plateformes, dont Axiom, BullX, Photon, GMGN et Padre. Les trois extensions partagent des motifs de code cohérents, indiquant une même paternité. 🚨

Sur le plan technique, les extensions opèrent via des scripts d’arrière-plan qui sondent toutes les 5 à 40 secondes les onglets ouverts correspondant aux URL ciblées. Elles injectent des scripts pour exfiltrer des tokens d’authentification (auth-access-token, auth-refresh-token, photon ta), des données localStorage et des contenus Firebase IndexedDB. Les informations sont exfiltrées via des requêtes POST vers des domaines contrôlés par l’attaquant (axiomenhancer.com, analyticsapi.online). 🧩

Trenches Agent apparaît comme une évolution modulaire avec prise en charge de multiples cibles, des intervalles de polling personnalisés par cible et une logique d’extraction dédiée. Les similarités de code à travers les trois extensions confortent l’hypothèse d’une campagne commune.

Indicateurs de compromission (IOCs):

  • Extensions Chrome: lgnfmkckpppkfbfndcdighighholljcn, ddhodpjidkbpkeheeenjflfjbgljgapl, khbegeannolbigamjahgggfpnaacbbmb
  • Noms d’extensions: Axiom Enhancer, Photon Bot, Trenches Agent
  • Domaines/C2: axiomenhancer.com, analyticsapi.online

Tactiques, techniques et procédures (TTPs):

  • Sondage d’onglets ouverts toutes les 5–40 s pour détecter des URL cibles
  • Injection de scripts dans des pages ciblées
  • Vol de cookies, de tokens (auth-access-token, auth-refresh-token, photon ta), de localStorage et de Firebase IndexedDB
  • Exfiltration via POST vers des domaines contrôlés par l’attaquant
  • Architecture modulaire multi-cibles (Trenches Agent) et motifs de code communs indiquant une même paternité

Il s’agit d’une publication de recherche destinée à exposer une campagne d’extensions malveillantes et à partager des IOCs/TTPs pour la communauté.

🔗 Source originale : https://labs.sqrx.com/hidden-in-plain-sight-how-we-followed-one-malicious-extension-to-uncover-a-multi-extension-a6f3f0792b98