● Numerama 📅 14/04/2026 à 15:50

Data Science 👤 Amine Baba Aissa

🏷️ Tags : rag rte

Lecture Zen Résumer l'article Une investigation de Socket dévoile que 108 extensions Chrome étaient utilisées pour exfiltrer des données vers une infrastructure centralisée, révélant un vaste écosystème malveillant. Les extensions, couvrant divers outils et applications, étaient secrètement coordonnées par un opérateur unique lié à cinq éditeurs distincts, tous partageant des ressources Google Cloud. Environ 20 000 installations ont été affectées, et malgré les demandes de retrait de Socket à Google, les extensions sont restées disponibles au moment de la publication. Une investigation de Socket dévoile que 108 extensions Chrome étaient utilisées pour exfiltrer des données vers une infrastructure centralisée, révélant un vaste écosystème malveillant. Les extensions, couvrant divers outils et applications, étaient secrètement coordonnées par un opérateur unique lié à cinq éditeurs distincts, tous partageant des ressources Google Cloud. Environ 20 000 installations ont été affectées, et malgré les demandes de retrait de Socket à Google, les extensions sont restées disponibles au moment de la publication. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Dans un article de blog publié le 13 avril 2026, les équipes de recherche de Socket révèlent que, pendant plusieurs mois, 108 extensions Chrome apparemment anodines ont secrètement œuvré pour le compte d’un même opérateur, exfiltrant des sessions, des identifiants Google et des données de navigation vers une infrastructure centralisée Jeux de casino en ligne, outils pour Telegram, extensions censées améliorer la qualité des vidéos sur YouTube ou TikTok : toutes ces applications disponibles sur le Chrome Web Store appartenaient en réalité au même immense écosystème malveillant. C’est la principale conclusion de l’analyse publiée le 13 avril 2026 par la société de sécurité Socket. Une campagne coordonnée qui aurait regroupé en tout 108 extensions compromises, et où l’ensemble des modules étaient reliés à une infrastructure de commande et de contrôle unique, hébergée sous un même domaine et reposant sur un seul serveur centralisé. Faux SMS, mails frauduleux… Ne tombez plus dans le piège ! Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security. Sponsorisé Je me protège contre les arnaques. Un écosystème malveillant piloté depuis une seule adresse IP Derrière ces pièges disséminés dans la marketplace du navigateur le plus utilisé au monde, on retrouve pourtant cinq éditeurs distincts : Yana Project, GameGen, SideGames, Rodeo Games et InterAlt. Selon Socket, tous seraient en réalité pilotés par un opérateur unique, qu’il s’agisse d’un groupe organisé ou d’un pirate isolé — l’étude ne le précise pas. La preuve la plus tangible avancée par les chercheurs réside dans le fait que 54 extensions dédiées au vol d’identifiants Google partagent leurs jetons OAuth2 entre deux seuls projets Google Cloud, dessinant ainsi la trace d’un propriétaire commun. Enfin, plusieurs adresses e‑mail enregistrées contiennent des variantes du même nom, « nadejdin », associé à une adresse située à Kiev, tandis que les commentaires dans le code source sont rédigés en russe. Vol de session Telegram, identités Google, backdoor universelle Plusieurs autres capacités malveillantes ont été observées parmi les extensions impliquées dans cette campagne. L’une des plus agressives, « Telegram Multi-Account », injecte par exemple un script dès l’ouverture du navigateur, puis exfiltre la session active toutes les quinze secondes vers les serveurs de l’opérateur. Une action qui permet une prise de contrôle complète du compte, sans mot de passe ni double authentification. En parallèle, près d’une quarantaine d’autres extensions embarquent une backdoor universelle : à chaque démarrage du navigateur, elles interrogent discrètement le serveur C2 et ouvrent l’URL renvoyée dans un nouvel onglet, sans aucune interaction de l’utilisateur. L’analyse de Socket révèle que l’infrastructure de l’opération inclut un portail de paiement, ce qui laisse penser à un modèle de type Malware‑as‑a‑Service, où les données volées sont revendues à des tiers presque immédiatement. Difficile d’évaluer le nombre exact de victimes de cette campagne cybercriminelle, les 108 extensions recensées totalisent environ 20 000 installations sur le Chrome Web Store. Socket précise que des demandes de retrait ont été soumises à Google, mais au moment de la publication de cet article, le 14 avril 2026 en début d’après‑midi, les extensions restaient accessibles. Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte Ne plus voir cette pub Ne plus voir cette pub Chrome extensions Google Google Chrome Hygiène numérique Navigateur Web Tech

🔗 Lire l'article original 👁️ 0 lecture