Über 100 bösartige Erweiterungen im Chrome Web Store entdeckt

Insgesamt 108 Erweiterungen wurden als Teil einer großangelegten Spionage-Kampagne im Chrome Web Store identifiziert, die es gezielt auf Telegram-Sitzungen und Google-Identitäten abgesehen hat. Trotz der Warnungen sind viele der gefährlichen Tools noch immer für Nutzer zugänglich.

Die Sicherheit offizieller App-Stores gilt gemeinhin als verlässlich, doch eine aktuelle Entdeckung zeigt erneut, dass auch streng kontrollierte Plattformen wie der Chrome Web Store nicht immun gegen koordinierte Angriffe sind. Das Socket Threat Research Team hat eine Kampagne aufgedeckt, bei der ein einzelner Akteur 108 verschiedene Erweiterungen eingeschleust hat, berichtete Cybernews. Diese Tools, die unter fünf unterschiedlichen Herausgeber-Identitäten veröffentlicht wurden, verfolgen alle das gleiche Ziel: den Diebstahl sensibler Nutzerdaten, Sitzungs-Token und Identitäten.

Obwohl die betroffenen Erweiterungen des Chrome Web Store zusammen nur rund 20.000 Installationen verzeichnen, ist die Art des Vorgehens besorgniserregend. Die Kampagne zeigt, wie Angreifer legitime Funktionen nutzen, um im Hintergrund weitreichende Berechtigungen zu missbrauchen. Dass viele dieser Erweiterungen über ein Jahr lang unentdeckt blieben und teilweise auch nach der Meldung an Google noch aktiv sind, verdeutlicht die Komplexität der Überwachung solcher Ökosysteme.

Das Prinzip der Tarnung: Funktion trifft auf Spionage

Ein wesentliches Merkmal dieser Malware-Kampagne ist die duale Natur der Erweiterungen im Chrome Web Store. Im Gegensatz zu offensichtlicher Malware liefern diese Add-ons die versprochenen Funktionen tatsächlich aus. Das Spektrum reicht von nützlichen Werkzeugen wie Telegram- oder YouTube-Sidebars und Übersetzungsprogrammen bis hin zu Unterhaltungsanwendungen wie Spielautomaten und Casino-Spielen. Während der Nutzer also die gewünschte Dienstleistung in Anspruch nimmt, wird im Verborgenen bösartiger Code ausgeführt.

Dieser Code verbindet sich mit einem Command-and-Control-Server (C2), um Befehle entgegenzunehmen und Daten zu exfiltrieren. Besonders tückisch ist, dass die Erweiterungen in der Lage sind, willkürliche Webseiten im Browser des Nutzers zu öffnen. Dies geschieht oft völlig unbemerkt und dient dazu, Werbeeinnahmen zu generieren oder weitere Angriffsvektoren vorzubereiten. Durch die Bereitstellung echter Funktionalität umgehen die Angreifer lange Zeit das Misstrauen der Nutzer und teilweise auch die automatisierten Scans der Store-Betreiber.

Der Angriff auf Telegram: Sitzungsdiebstahl im Sekundentakt

Als besonders gefährlich stufen die Forscher die Erweiterung Telegram Multi-Account ein. Diese hat es gezielt auf aktive Telegram-Web-Sitzungen abgesehen. Sobald ein Nutzer Telegram im Browser verwendet, greift die Erweiterung das Sitzungs-Token ab und überträgt es alle 15 Sekunden an einen vom Angreifer kontrollierten Server. Dieser Prozess ermöglicht es den Tätern, vollen Zugriff auf die Nachrichten und Kontakte des Opfers zu erhalten.

Der entscheidende Vorteil für die Angreifer besteht darin, dass sie durch das Kopieren der aktiven Sitzung weder Passwörter noch die Multifaktor-Authentifizierung (MFA) umgehen müssen. Sie nutzen einfach den bereits autorisierten Zugang des Nutzers. Da diese Erweiterung laut dem Bericht zuletzt im Februar 2025 aktualisiert wurde, war die schädliche Funktion über ein Jahr lang in Betrieb, bevor sie nun im April 2026 öffentlich gemacht wurde. Dies unterstreicht die Langfristigkeit, mit der solche Kampagnen geplant und durchgeführt werden.

Google-Identitäten und der OAuth2-Missbrauch

Ein Großteil der identifizierten Erweiterungen, insgesamt 54 Stück, zielt auf die Google-Identität der Nutzer ab. Wenn sich ein Anwender über eine dieser Erweiterungen bei seinem Google-Konto anmeldet, stehlen die Tools ein OAuth2-Token. Dieses Token wird lokal im Browser verwendet, um Profildaten wie die E-Mail-Adresse, den vollständigen Namen und das Profilbild abzurufen. Diese Informationen werden anschließend dauerhaft auf dem Server des Operators gespeichert.

Interessanterweise verlässt das OAuth-Token selbst den Browser laut dem Bericht von Socket nicht. Dennoch erhalten die Angreifer durch den Zugriff auf die Profildaten einen verifizierten Datensatz des Nutzers, der für gezielte Phishing-Angriffe oder den Verkauf in Untergrundforen genutzt werden kann. Wer sich also über eine Sidebar- oder Spiele-Erweiterung per Google-Login angemeldet hat, muss davon ausgehen, dass seine Identitätsdaten kompromittiert wurden.

Der universelle Backdoor-Mechanismus

Dutzende der Erweiterungen verfügen über eine Funktion namens loadInfo(), die als universelle Hintertür fungiert. Dieser Mechanismus sorgt dafür, dass die Erweiterung bei jedem Browserstart eine Verbindung zum Server der Angreifer aufnimmt. Selbst wenn der Nutzer die Erweiterung des Chrome Web Store niemals aktiv öffnet oder anklickt, reagiert der Browser auf die vom Server ausgegebenen Befehle.

Diese Befehle können beispielsweise dazu führen, dass im Hintergrund Webseiten aufgerufen werden oder zusätzliche Skripte zur Werbeinjektion in die besuchten Seiten eingeschleust werden. Damit kontrollieren die Angreifer effektiv einen Teil des Browsing-Erlebnisses und können die angezeigten Inhalte manipulieren. Diese Form der Kontrolle ist besonders schwerwiegend, da sie dauerhaft besteht, solange die Erweiterung installiert ist, und keine Interaktion durch den Anwender erfordert.

Der Verdacht auf Malware-as-a-Service

Die technische Analyse ergab, dass alle 108 Erweiterungen die gleiche Backend-Infrastruktur nutzen. Die bösartige Server-Domain cloudapi[.]stream wurde bereits am 30. April 2022 registriert. Die Forscher von Socket vermuten hinter dieser professionellen Struktur eine Malware-as-a-Service-Plattform (MaaS). Dabei stellen die Betreiber die Infrastruktur bereit, während andere Kriminelle gegen Bezahlung Zugriff auf die gestohlenen Sitzungsdaten und Identitäten erhalten.

Dieser Trend zur Industrialisierung von Cyberkriminalität macht es für Sicherheitsforscher zunehmend schwieriger, einzelne Täter zu identifizieren. Die Kampagne nutzt die Anfälligkeit der Lieferkette aus, bei der Browser-Erweiterungen oft weitreichende Rechte erhalten. Erweiterungen können theoretisch jede heruntergeladene Datei modifizieren oder den gesamten Datenverkehr mitlesen, oft ohne dass dafür zusätzliche, auffällige Berechtigungen angefordert werden müssen.

Schutzmaßnahmen für Chrome Web Store

Nutzer, die Erweiterungen des Chrome Web Store aus den Bereichen Messenger-Sidebars, Casino-Spiele oder Tools für YouTube installiert haben, sollten dringend aktiv werden. Der erste Schritt besteht darin, die Liste der installierten Add-ons im Browser zu prüfen und alle unbekannten oder verdächtigen Einträge sofort zu entfernen. Eine vollständige Liste der 108 betroffenen Erweiterungen wurde von Socket zur Verfügung gestellt.

Wer die Erweiterung Telegram Multi-account genutzt hat, sollte zusätzlich über die mobile Telegram-App alle anderen Sitzungen beenden. Dies ist unter Einstellungen, Geräte und Alle anderen Sitzungen beenden möglich. Nur so kann sichergestellt werden, dass ein potenziell gestohlenes Sitzungs-Token seine Gültigkeit verliert. Zudem empfiehlt es sich, unter myaccount.google.com/permissions alle Drittanbieter-Apps zu überprüfen und den Zugriff für unbekannte Dienste zu widerrufen. Generell gilt: Browser-Erweiterungen wie die im Chrome Web Store sehen im Zweifelsfall alles. Es sollte daher nur Software von absolut vertrauenswürdigen Quellen installiert werden, wobei auch hier eine regelmäßige Kontrolle der genutzten Tools unerlässlich ist.