🗓️ Contexte
Source : Cyber Press (cyberpress.org), publié le 5 juin 2026. L’article s’appuie sur des recherches publiées par G DATA Software. Il documente la découverte de plusieurs extensions Chrome malveillantes ciblant les utilisateurs de plateformes d’IA générative.
🎯 Contexte de la menace
En mars 2026, l’écosystème des extensions Chrome liées à l’IA comptait environ 115 millions d’utilisateurs. Des acteurs malveillants exploitent la confiance accordée aux outils de productivité IA pour déguiser des stealers en extensions légitimes. Les données ciblées incluent des conversations confidentielles, du code source propriétaire et des informations médicales personnelles.
🦠 Extensions malveillantes identifiées
Urban VPN (version 5.10.3)
- Présentée comme un outil VPN gratuit, notée 4,7/5 sur le Chrome Web Store
- Contient un fichier JavaScript malveillant nommé
content.js - S’exécute en arrière-plan en permanence, même sans connexion VPN active
- Injecte un script executor qui intercepte toutes les requêtes réseau vers les plateformes d’IA (ChatGPT, Claude, Copilot, Gemini, DeepSeek)
- Extension ID :
eppiocemhmnlbhjplcgkofciiegomcon
Smart Sidebar (version 1.9.6)
- Plus de 400 000 utilisateurs, présentée comme un assistant de navigation et de codage
- Contient un script malveillant nommé
aiResponder.js - Utilise un observateur DOM pour détecter les nouveaux éléments de chat
- Encode les conversations en Base64 et les exfiltre via une requête POST vers un serveur distant malveillant
- Cible ChatGPT et DeepSeek
- Extension ID :
fnmihdojmnkclgjpcoonokmkhjpjechg
Chat AI / AI Assistant (version 3.3.4)
- Plus de 70 000 utilisateurs, distinguée par un badge « featured » sur le Chrome Web Store
- Utilise un composant React trompeur et un iframe intégrant une interface de chat distante
- Exploite le localStorage pour suivre les préférences utilisateur et les transmettre à un domaine contrôlé par l’attaquant
- Crée une superposition silencieuse qui surveille les interactions sans déclencher les alertes de sécurité du navigateur
- Extension ID :
fnmihdojmnkclgjpcoonokmkhjpjechg
📋 Indicateurs de compromission
Trois fichiers malveillants ont été identifiés avec leurs hashes SHA256 et noms de détection associés (AIStealer.08LJNB, AIStealer.8HGRSW, AiFrame.703FYD).
📰 Nature de l’article
Il s’agit d’un article de presse spécialisée relayant une publication de recherche de G DATA Software, visant à informer sur une campagne active de vol de données ciblant les utilisateurs d’IA via des extensions Chrome malveillantes.
🧠 TTPs et IOCs détectés
TTP
- T1176 — Browser Extensions (Persistence)
- T1185 — Browser Session Hijacking (Collection)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1027 — Obfuscated Files or Information (Defense Evasion)
- T1113 — Screen Capture (Collection)
IOC
- SHA256 :
524C953E23FF8B768206CF33A529C11AC5510E47CBF6246DB79EE671D1231716— VT · MalwareBazaar - SHA256 :
C984787CCD787629542DA68302ED4CEB48FC7E458EAB1C15BF45C3070883D26A— VT · MalwareBazaar - SHA256 :
F8CBE44FDE6914BC8D06426C03C92ED536C891470292E567A586B54AF29C2442— VT · MalwareBazaar - Fichiers :
content.js - Fichiers :
aiResponder.js - Fichiers :
index.js
Malware / Outils
- AIStealer (Urban VPN content.js) (stealer)
- AIStealer (Smart Sidebar aiResponder.js) (stealer)
- AiFrame (Chat AI index.js) (stealer)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ cyberpress.org — source reconnue (Rösti community) (20pts)
- ✅ 3983 chars — texte complet (fulltext extrait) (15pts)
- ✅ 6 IOCs dont des hashes (15pts)
- ✅ 3/3 IOCs confirmés (MalwareBazaar, ThreatFox, VirusTotal) (15pts)
- ✅ 5 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
524C953E23FF8B76…(sha256) → VT (15/76 détections)C984787CCD787629…(sha256) → VT (19/76 détections)F8CBE44FDE6914BC…(sha256) → VT (20/76 détections)
🔗 Source originale : https://cyberpress.org/malicious-add-ons-target-ai/