Onderzoekers van GitLab hebben in de Chrome Web Store zestien malafide extensies ontdekt die code in de browser injecteerden voor het plegen van fraude en beveiliging tegen cross-site scripting (XSS) uitschakelden. Meer dan 3,2 miljoen Chrome-gebruikers hadden de malafide extensies geïnstalleerd. Na te zijn ingelicht werden ze door Google uit de Chrome Web Store verwijderd.

Afgelopen december werd bekend dat aanvallers toegang hadden gekregen tot de Chrome-extensie van cybersecuritybedrijf Cyberhaven, alsmede tientallen andere extensies. Vervolgens werden deze extensies van malafide code voorzien. De aanvallers hadden door middel van phishing toegang tot de accounts van de extensie-ontwikkelaars gekregen en konden zo de extensies aanpassen. Het ging om zeker 36 extensies met malafide code die Facebook-inloggegevens van het systeem probeerden te stelen.

Onderzoekers van GitLab besloten daarop meerdere publieke Chrome-extensies te onderzoeken en ontdekten zo zestien andere malafide extensies. Deze extensies injecteren malafide code in de browser voor het plegen van advertentie en search engine optimization fraude. Daarnaast verwijderen de extensies de Content Security Policy beveiliging van bezochte pagina's. Deze beveiligingsmaatregel moet gebruikers tegen XSS-aanvallen beschermen. De onderzoekers publiceerden een lijst van de malafide extensies, die inmiddels door Google uit de Chrome Web Store zijn verwijderd. Het gaat onder andere om adblockers, emoji keyboards en YouTube-gerelateerde extensies.