Chromeの拡張機能、170件以上のサイトで認証情報を窃取

yab

2025.12.24

Chromeの拡張機能、170件以上のサイトで認証情報を窃取

The Hacker News – Dec 23, 2025

トラフィックを傍受してユーザーの認証情報を窃取するGoogle Chromeの拡張機能2件が発見された。拡張機能の名称と開発者名は2件とも同一で、認証資格情報を挿入してトラフィック傍受を実行し、中間者（MitM）攻撃プロキシとしてユーザーデータを脅威アクターのC2サーバーに送信しているそう。

拡張機能は「複数拠点ネットワーク速度テストプラグイン」として宣伝され、本記事執筆時点ではどちらもダウンロード可能な状態を維持している模様。拡張機能の詳細は以下の通り。

Phantom Shuttle
- ID：fbfldogmkadejddihifklefknmikncaj
- ユーザー数：2,000人
- 公開日：2017年11月26日
Phantom Shuttle
- ID：ocpcmfmiidofonkbodpdhgddhlcmcofd
- ユーザー数：180人
- 公開日：2023年4月27日公開

サブスクリプション料金として9.9～95.9人民元（約220～2,100円）支払うと自動的に有効になる「Smarty」プロキシモードによって、ドメインリストからのトラフィックが攻撃者のC2インフラストラクチャ経由でルーティングされる。拡張機能は宣伝されている通りインターネット速度テストとしても機能し、プロキシサーバーで実際のレイテンシテストを実行し、接続状況を表示するとのこと。

拡張機能に含まれる2つのJavaScriptライブラリ（jquery-1.12.2.min.js、scripts.js）は改変されており、chrome.webRequest.onAuthRequiredにリスナーを登録し、あらゆるWebサイトのHTTP認証のチャレンジにハードコードされたプロキシ認証情報（topfany/963852wei）をレスポンスするように設計されている。また、asyncBlockingは同期認証情報インジェクションを維持し続ける。その後、「phantomshuttle[.]space」にあるC2サーバーへのハートビートを維持しながら、攻撃者のプロキシを介するようにユーザーのWebトラフィックをルーティングする。

リストには170件超のドメインが含まれており、開発者プラットフォーム（GitHub、StackOverflow、Docker）、クラウドサービス（Amazon Web Services、Digital Ocean、Microsoft Azure）、エンタープライズソリューション（Cisco、IBM、VMware）、ソーシャルメディア（Facebook、Instagram、Twitter）、脅迫目的と推測されるアダルトコンテンツサイトなどが含まれる。開発者の秘密情報が盗まれることで、サプライチェーン攻撃につながる可能性もあるとみられる。

8年前から続くこの活動の実行者は現時点では不明だが、説明に中国語が使われていること、支払いにAlipayやWeChatPayが使えること、C2ドメインをホストするためにAlibabaCloudが使用されていることから、中国を拠点とする活動であることが示唆されている。

これらの拡張機能をインストールした場合、早急に削除することが推奨される。