Beberapa hari yang lalu kami melaporkan bagaimana penjahat cyber berhasil meretas akun Toko Web Chrome dari tim pengembang Jerman dan membajak ekstensi Copyfish. Lalu kemudian memodifikasi dengan kemampuan ad-injection untuk menyebarkan korespondensi spam ke pengguna.
Baru kemarin-kemarin, ekstensi populer lainnya yang bernama Web Developer dibajak oleh beberapa penyerang yang tidak dikenal, yang memperbarui perangkat lunak untuk langsung menginjeksikan iklan ke browser web dengan lebih dari 1 juta pengguna.
Chris Pederick, pembuat ekstensi Chrome Web Developer yang menawarkan berbagai alat pengembangan web untuk penggunanya, memperingatkan pada Rabu malam bahwa beberapa peretas yang tidak dikenal tampaknya memalsukan akun Google-nya, memperbarui ekstensi ke versi 0.4.9, dan mem-push ke 1.044.000 pengguna.
https://twitter.com/chrispederick/status/892768218162487300
Dalam kedua kasus tersebut, penjahat cyber menggunakan phishing terlebih dahulu untuk mendapatkan akses ke akun Google pengembang, membajak ekstensi masing-masing dan kemudian memperbarui ekstensi untuk melakukan tugas berbahaya.
Namun, versi Firefox dari kedua ekstensi tersebut tidak terpengaruh.
Menurut pengembang, malware membangun kode JavaScript yang diambil dari web dan menjalankannya di dalam browser web pengguna untuk secara paksa menginjeksikan iklan di halaman web.
Plugin ini memiliki akses ke hampir semua hal yang terjadi di browser pengguna – dapat melakukan apapun dari membaca semua konten situs web untuk mencegat trafik, sniffing keystroke, dll.
Jadi, pembajakan ekstensi Web Developer bisa menjadi mimpi buruk bagi pengguna, terutama bagi mereka yang merupakan perancang profesional dan mengakses akun resmi mereka (situs web, hosting, atau email) menggunakan browser yang sama.
Pederick mengatakan versi 0.4.9 dari perangkat lunak mungkin telah dilakukan lebih buruk, namun dalam lima sampai enam jam komprominya, dia mengetahui adanya bangunan berbahaya tersebut, menariknya dari toko Chrome, dan memasang ekstensi sekitar satu jam kemudian.
Pederick mengatakan versi 0.4.9 dari perangkat lunak mungkin telah melakukan hal buruk, namun dalam lima sampai enam jam peluncurannya, dia mengetahui adanya bangunan berbahaya tersebut, menariknya dari toko Chrome, dan memasang ekstensi versi baru sekitar satu jam kemudian.
Namun, kode yang dikompromikan akan memungkinkan pelakunya membuat komisi yang cukup besar dari iklan selama beberapa jam JavaScript berbahaya itu aktif.
Pengguna Web Developer sangat disarankan untuk memperbarui ekstensi mereka ke versi 0.5 segera.
Pengguna juga harus mempertimbangkan untuk mengubah kata sandi semua akun web, serta membatalkan token dan cookies masuk yang digunakan di situs web yang dikunjungi saat menggunakan ekstensi yang terinfeksi.
