Фальшивые расширения для ChatGPT крадут токены и данные пользователей
2 мин
81
Специалисты из LayerX Security нашли 16 вредоносных браузерных расширений, маскирующихся под инструменты для работы с ChatGPT. Зловредные расширения похищали данные пользователей после входа в систему. По словам кибербез-экспертов, все 16 вредоносов сделал один злоумышленник. Логика проста: чем больше версий в обороте, тем выше шансы, что хотя бы часть вредоносных расширений сохранится до этапа массовой установки. 15 расширений были добавлены в Chrome Web Store, одно — в магазин Microsoft Edge.
Исследователи информационной безопасности выявили 900 загрузок вредоносов. По словам экспертов, одно расширение даже получило значок рекомендованного в Chrome Web Store.
Тактика таких атак построена на краже сессионных токенов. Как только хакер украл токен, он может работать под чужим аккаунтом. Исследователи кибербезопасности объяснили, что после кражи токена злоумышленники получают доступ ко всем беседам в ChatGPT, данным и коду жертвы.
Многие пользователи подключают такие ИИ-инструменты к рабочим платформам. Это означает, что после кражи токенов хакеры могут заглянуть в приватные каналы Slack, репозитории на GitHub и файлы в Google Drive.
Вредоносный код в таких случаях находится в привилегированной зоне браузера, где традиционная защита часто не работает. И злоумышленник может просматривать и изменять данные по своему желанию.
Исследователи ИБ уверены, что это не набор случайных совпадений, а организованная операция. Все расширения содержат одинаковый код с ошибками и сливают данные на домены chatgptmods.com и Imagents.top. Большую часть загрузили в один день. Иконки и описания практически идентичны, что позволяет расширениям выглядеть легитимно. Однако показатели установок у большинства из них невысокие, лишь несколько версий набрали аудиторию.
