Twee Chrome-extensies genaamd ‘Phantom Shuttle’ doen zich voor als proxydiensten, maar stelen in werkelijkheid gebruikersgegevens. De malafide extensies zijn al sinds 2017 actief en staan nog altijd in de officiële Chrome Web Store.
Onderzoekers van securityplatform Socket ontdekten de kwaadaardige extensies. De extensies richten zich op gebruikers in China, waaronder handelaren die connectiviteit vanuit verschillende locaties in het land moeten testen. De extensies bieden een maandabonnement aan.
Beide Phantom Shuttle-extensies worden onder dezelfde ontwikkelaarsnaam gepubliceerd. Ze beloven webverkeer te proxyen en netwerksnelheden te testen. Maar achter de schermen gebeurt er meer. Het probleem zit in de verborgen functionaliteit die gebruikers niet kunnen zien.
Hardcoded proxycredentials
De extensies leiden al het webverkeer via proxy’s die de aanvallers controleren. De toegang verloopt via hardcoded inloggegevens. Socket-onderzoekers ontdekten dat de code hiervoor is toegevoegd aan de legitieme jQuery-bibliotheek.
Door een speciale character-index encodering worden de proxy-credentials verborgen. Via een webverkeer-listener onderscheppen de extensies HTTP-authenticatie op elke website. Formulierdata, wachtwoorden, kaartgegevens en sessiecookies kunnen zo worden onderschept. Ook API-tokens uit requests zijn te stelen.
Chrome’s proxy-instellingen worden dynamisch aangepast via een auto-configuration script. In de standaard “smarty”-modus routeert de extensie meer dan 170 hoogwaardige domeinen door het proxynetwerk. Denk aan ontwikkelplatforms, clouddienst-consoles en social media-sites. Lokale netwerken en het command-and-control-domein blijven buiten schot om detectie te voorkomen.
Breder probleem
Zo blijkt andermaal dat Chrome-extensies niet zomaar te vertrouwen zijn. In januari 2025 verwijderde Google zestien schadelijke Chrome-extensies die door meer dan 3,2 miljoen gebruikers waren geïnstalleerd. De ShadyPanda-groep infecteerde daarnaast 4,3 miljoen Chrome- en Edge-gebruikers met malware, een campagne die zeven jaar liep.
Google kreeg een contactverzoek over de Phantom Shuttle-extensies. Een reactie bleef vooralsnog uit. Chrome-gebruikers moeten extensies alleen van betrouwbare uitgevers installeren, meerdere gebruikersreviews checken en opletten welke permissies ze toekennen. Want wie te snel op ’toestaan’ klikt, opent mogelijk de deur voor datadiefstal.