Home » News » Google Chrome, oltre 100 estensioni rubano dati: l’allarme è serio
News

Google Chrome, oltre 100 estensioni rubano dati: l’allarme è serio

Oltre 100 estensioni di Chrome nascondevano malware russo capace di rubare token di sessione, account Google e dati personali di milioni di utenti ignari.

scritto da Felice Galluccio 0 commenti 1 Minuti lettura
Google Chrome, oltre 100 estensioni rubano dati: l'allarme è serio

Quella che sembrava una zona sicura per milioni di utenti si sta rivelando un problema serio. Il Chrome Web Store, lo store ufficiale delle estensioni di Google Chrome, è finito al centro di un allarme che riguarda più di 100 estensioni identificate come parte di una vasta campagna di Malware-as-a-Service di origine russa. A scoprire la faccenda sono stati i ricercatori della società Socket, che hanno individuato un’operazione strutturata e ben organizzata, capace di colpire su più fronti e con strumenti diversi.

Le estensioni in questione, pubblicate sotto identità differenti, coprono una gamma sorprendente di categorie: si va da client per Telegram a giochi come slot e Keno, passando per strumenti di traduzione e presunti tool di miglioramento per YouTube e TikTok. Dietro questa varietà apparentemente innocua si nasconde un’infrastruttura di comando e controllo ospitata su server VPS, pensata per dirottare sessioni utente e generare guadagni tramite pubblicità fraudolenta.

Come funzionano queste estensioni malevole

Il meccanismo di attacco non è uguale per tutte. Esistono almeno tre gruppi distinti. Il primo, composto da 78 estensioni, inietta codice HTML nocivo direttamente nell’interfaccia del browser. Il secondo gruppo, che conta 54 estensioni, sfrutta la funzione chrome.identity.getAuthToken per rubare i token Bearer OAuth2: in pratica, permette ai pirati informatici di accedere ai dati dell’account Google della vittima o di agire per suo conto. Poi ci sono 45 estensioni che funzionano come vere e proprie backdoor, in grado di ricevere comandi da remoto e compiere azioni senza che l’utente se ne accorga minimamente.

Il caso più preoccupante tra quelli individuati riguarda un’estensione pensata per il furto delle sessioni di Telegram Web. Ogni 15 secondi, il malware estrae i dati dal localStorage del browser e invia il token di sessione direttamente al server degli aggressori. Parliamo di un ritmo impressionante, che lascia pochissimo margine di reazione.

Altre varianti del malware e cosa fare adesso

Non finisce qui. Altre varianti del malware che sta colpendo gli utenti di Google Chrome sono progettate per rimuovere gli header di sicurezza dai siti web visitati e iniettare annunci pubblicitari fraudolenti su piattaforme molto frequentate come TikTok e YouTube. Socket ha informato Google della situazione il 14 aprile 2026, ma a quanto risulta molte di queste estensioni restano ancora disponibili per il download sullo store ufficiale.