186/68 (IT) ประจำวันพฤหัสบดีที่ 22 พฤษภาคม 2568
นักวิจัยจากทีม DomainTools Intelligence (DTI) เปิดเผยแคมเปญโจมตีขนาดใหญ่ที่มีผู้ไม่หวังดีสร้าง ส่วนขยายปลอม (fake extensions) สำหรับ Google Chrome กว่า 100 รายการ ตั้งแต่เดือนกุมภาพันธ์ 2024 โดยปลอมตัวเป็นเครื่องมือช่วยด้าน productivity, VPN, crypto, การเงิน และบริการอื่น ๆ ผ่านเว็บไซต์ปลอมที่เลียนแบบแบรนด์จริง เช่น DeepSeek, FortiVPN และ DeBank เพื่อหลอกให้ผู้ใช้ติดตั้งส่วนขยายที่ฝังฟังก์ชันอันตราย เช่น ขโมยรหัสผ่าน, cookies, แฮก session, เปลี่ยนเส้นทางเว็บไซต์ (malicious redirect), ฝังโฆษณา (ad injection) และ ฟิชชิง แม้ว่าส่วนขยายเหล่านี้จะดูเหมือนให้บริการตามปกติ แต่เบื้องหลังกลับมีการตั้งค่า permission เกินความจำเป็นในไฟล์ manifest.json เพื่อให้สามารถเข้าถึงเว็บไซต์ทุกหน้า และรันโค้ดอันตรายจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม
พบว่าส่วนขยายเหล่านี้ใช้เทคนิคหลบเลี่ยงนโยบาย Content Security Policy (CSP) โดยฝังโค้ดผ่าน event handler ที่ชื่อ “onreset” บน DOM ชั่วคราว และตั้งค่าการเชื่อมต่อ WebSocket เพื่อเปลี่ยนเบราว์เซอร์เป็น proxy สำหรับส่งข้อมูลกลับไปยังผู้ควบคุมแคมเปญ โดยบางเว็บไซต์มีการฝัง Facebook Pixel ID ซึ่งบ่งชี้ว่าผู้โจมตีอาจใช้ช่องทางของ Meta เช่น Facebook Pages, กลุ่ม หรือโฆษณา ในการโปรโมตส่วนขยายเหล่านี้ ทั้งนี้ Google ได้เริ่มลบส่วนขยายที่เป็นอันตรายออกจาก Chrome Web Store แล้ว
คำแนะนำสำหรับผู้ใช้งานส่วนขยาย:
– ติดตั้งส่วนขยายเฉพาะจาก นักพัฒนาที่ได้รับการยืนยัน (verified developers)
– ตรวจสอบสิทธิ์การเข้าถึง (permissions) ที่ส่วนขยายร้องขอก่อนติดตั้ง
– อ่านรีวิวอย่างละเอียด แม้บางรีวิวอาจถูกจัดการหรือปลอมแปลง – หลีกเลี่ยงส่วนขยายที่มี ชื่อคล้ายของจริง หรือมีลักษณะน่าสงสัย
แหล่งข่าว https://thehackernews.com/2025/05/100-fake-chrome-extensions-found.html
