Extensions De Navigateur

Selon Koi Security (blog), une enquête attribue à l’acteur « ShadyPanda » une campagne d’extensions de navigateur étalée sur sept ans, visant Chrome et Edge, ayant infecté 4,3 millions d’utilisateurs avec des modules de surveillance et un backdoor à exécution de code à distance (RCE). • Phases de la campagne (2018–2025) : Phase 1 (2023) – « Wallpaper Hustle » (145 extensions, éditeurs nuggetsno15 et rocket Zhang) : fraude à l’affiliation (injection de codes affiliés eBay/Amazon/Booking), tracking via Google Analytics (visites, recherches, clics). Phase 2 (début 2024) – Détournement de recherche (ex. Infinity V+) : redirections via trovi.com, exfiltration de cookies (nossl.dergoodting.com), collecte des frappes de recherche vers s-85283.gotocdn[.]com et s-82923.gotocdn[.]com (HTTP non chiffré). Phase 3 (milieu 2024) – La « longue traque » : extensions légitimes depuis 2018–2019 (dont Clean Master, 200k+) weaponisées via mise à jour silencieuse après accumulation d’utilisateurs et badges « Featured/Verified ». Environ 300 000 utilisateurs touchés par un backdoor RCE commun à 5 extensions. Phase 4 (≈2023–2025) – « Spyware Empire » sur Microsoft Edge par Starlab Technology : 5 extensions totalisant 4 M+ d’installations (dont WeTab 新标签页 à 3 M) ; opération toujours active au moment du rapport. • Capacités et impacts clés : ...

Selon LayerX Security (Browser Security Report 2025), le navigateur est devenu l’endpoint le plus critique et le moins gouverné de l’entreprise, au croisement de l’IA, des identités et des données, avec une surface d’attaque largement invisible pour les piles DLP/EDR/SSE. 🧠 Croissance IA et déficit de gouvernance 45% des employés utilisent des outils GenAI, dont 92% du trafic sur ChatGPT. Près de 90% des sessions se déroulent hors contrôle IT. 77% des employés copient/collent des données dans des prompts, 82% via des comptes personnels. 40% des fichiers chargés dans des apps GenAI contiennent des données PII/PCI. La GenAI représente 32% des mouvements de données corporate → personnels, devenant le canal d’exfiltration n°1 dans le navigateur. 🧩 Extensions : chaîne d’approvisionnement logicielle non gérée ...

L’article de John Tuckner, publié le 9 juillet 2025, révèle comment la bibliothèque Mellowtel transforme les extensions de navigateur en un réseau de scraping web distribué, compromettant la sécurité des utilisateurs. Mellowtel est une bibliothèque de monétisation qui permet aux développeurs d’extensions de navigateur de gagner de l’argent en utilisant la bande passante inutilisée des utilisateurs. Cependant, cette pratique soulève des préoccupations de cybersécurité, car elle transforme les appareils des utilisateurs en une armée de bots à leur insu. ...

L’article publié par Secureannex met en lumière une nouvelle menace en cybersécurité liée à la bibliothèque de monétisation développée par Mellowtel. Cette bibliothèque permet de transformer des extensions de navigateur en un réseau de scraping distribué, compromettant potentiellement près d’un million d’appareils. Contexte : De nombreux développeurs d’extensions de navigateur cherchent à monétiser leur travail. Des entreprises proposent des bibliothèques de monétisation qui peuvent être intégrées aux extensions, souvent sans nécessiter de nouvelles autorisations. Cependant, certaines de ces bibliothèques collectent des données de navigation pour créer des profils de comportement utilisateur. ...

L’article publié par Socket met en lumière les risques croissants associés aux extensions de navigateur malveillantes. Ces extensions, souvent disponibles dans des magasins de confiance comme les Add-ons de Mozilla, sont utilisées pour hijacker des sessions utilisateur, rediriger le trafic et manipuler le comportement des utilisateurs. L’analyse de Socket révèle que certaines extensions exploitent les permissions standard des navigateurs pour faciliter des escroqueries, rediriger le trafic, et gonfler artificiellement les métriques d’engagement. Par exemple, l’extension Shell Shockers io utilise des popups trompeurs pour rediriger les utilisateurs vers des pages d’escroquerie de support technique. ...