Due estensioni per Chrome apparentemente innocue stanno mettendo a rischio i dati sensibili di migliaia di utenti, principalmente in Cina. Si chiamano entrambe "Phantom Shuttle" e si presentano come strumenti legittimi per instradare il traffico attraverso server proxy, ma nascondono funzionalità malevole capaci di intercettare credenziali, cookie di sessione e token API. La scoperta arriva dai ricercatori di Socket, piattaforma specializzata nella sicurezza della supply chain software, che hanno identificato le estensioni fraudolente ancora presenti nel Chrome Web Store nonostante siano attive dal 2017.
Le estensioni Phantom Shuttle si rivolgono principalmente a professionisti del commercio estero e utenti cinesi che necessitano di testare la connettività da diverse località geografiche all'interno del paese. Pubblicate dallo stesso sviluppatore, vengono promosse come strumenti per il proxying del traffico e il test della velocità di rete, con abbonamenti che vanno da 1,4 a 13,6 dollari. Un modello di business apparentemente legittimo che però maschera un'operazione di sottrazione dati su larga scala, perpetrata attraverso codice malevolo abilmente nascosto all'interno di librerie JavaScript considerate affidabili.
L'analisi tecnica condotta da Socket rivela un meccanismo sofisticato di man-in-the-middle. Il codice dannoso viene inserito all'inizio della legittima libreria jQuery, utilizzando credenziali proxy hardcoded offuscate tramite uno schema di codifica personalizzato basato su indici di caratteri. Una volta installate, le estensioni riconfigurano dinamicamente le impostazioni proxy di Chrome attraverso script di auto-configurazione, dirottando il traffico web degli utenti verso server controllati dagli attaccanti. La modalità predefinita "smarty" instrada selettivamente le connessioni verso oltre 170 domini ad alto valore, includendo piattaforme per sviluppatori, console di servizi cloud, social media e portali per contenuti adulti.
La lista di esclusione configurata dagli operatori è particolarmente rivelatrice delle loro intenzioni: vengono esclusi i network locali e il dominio di comando e controllo stesso, una strategia mirata a evitare interruzioni del servizio che potrebbero insospettire le vittime o attirare l'attenzione dei ricercatori di sicurezza. Attraverso la loro posizione privilegiata nel flusso di comunicazione, le estensioni possono estrarre cookie di sessione direttamente dagli header HTTP, bypassando potenzialmente anche meccanismi di autenticazione a due fattori basati su sessione.
La persistenza di queste estensioni nel Chrome Web Store per almeno sette anni solleva questioni critiche sui processi di verifica di Google. Nonostante il colosso di Mountain View abbia implementato negli anni vari sistemi automatizzati per identificare estensioni malevole, Phantom Shuttle è riuscita a eludere i controlli mantenendo una facciata di legittimità. Al momento della pubblicazione di questo articolo, entrambe le estensioni risultano ancora scaricabili, e Google non ha risposto alle richieste di commento inviate da diverse testate tecnologiche.
