Mask attack od zera: jak Hashcat naprawdę generuje keyspace
Czytaj więcej
Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome
Łącznie ok. 260 tys instalacji dało w efekcie tysiące osób narażonych na kradzież e-maili firmowych, rozmów z ChatGPT i danych kart płatniczych.
Być może obiło się Wam o uszy, że badacze z LayerX i OX Security opublikowali informację o kampanii z ponad 30 złośliwymi rozszerzeniami do Chrome. Wszystkie z nich były powiązane z agentami AI oraz oznaczone jako „featured” przez Google. Po autoryzacji wtyczki zmieniały się jednak w narzędzia wykradające dane prywatne i firmowe. To będzie kolejna historia o tym, jak ważne jest ustanowienie odpowiednich polityk dotyczących korzystania z narzędzi AI w organizacji.
Instalacja wtyczek na rympał? Oops, I did it again.
Atakujący opublikowali co najmniej 30 rozszerzeń podszywających się pod popularne narzędzia AI takie jak Grok, ChatGPT, DeepSeek, Claude czy Gemini. Oferowały standardowe funkcje asystentów, czyli podsumowanie treści, integracje z Gmailem, generowanie obrazów - niektóre z nich osiągnęły już 80 tys pobrań.
Niektóre z wtyczek zostały wyróżnione jako "Featured" w Chrome Web Store, co podnosiło ich widoczność i zaufanie użytkowników. Twórcy stosowali taktykę "extension spraying": po zdobyciu wyróżnienia usuwali wtyczkę i publikowali klon pod nową nazwą oraz z nowym ID, omijając recenzje Google. Następnie 260 tys osób kliknęło "Dodaj do Chrome" (łącznie doszło do tylu instalacji fałszywych wtyczek) i poszło parzyć kolejną kawę.
Wszystkie badane przez LayerX rozszerzenia dzieliły ten sam kod bazowy, permissions i infrastrukturę backendu. Zamiast lokalnego AI, ładowały pełnoekranowy iframe z subdomen kontrolowanych przez atakujących, co umożliwiało zdalną zmianę funkcjonalności bez aktualizacji w sklepie. Dzięki temu zyskali dostęp do autoryzowanych sesji poprzez scraping DOM. W 15 rozszerzeniach z klastra Gmail scrapowano e-maile, w tym całe wątki i szkice, wysyłane cyklicznie na serwery atakujących.
Pilnuj polityki instalacji rozszerzeń (i nie tylko).
W raportach OX Security wtyczki typu "ChatGPT for Chrome" scrapowały rozmowy z ChatGPT z DOM, ekstraktując je cyklicznie (co ok. 30 minut) i przesyłając na serwery atakujących. Kampania naruszyła dane tysięcy użytkowników, w tym dane firmowe, niosąc za sobą ryzyko nie tylko credential stuffing ale również naruszenia tajemnicy przedsiębiorstwa.
Dlatego chociaż rozszerzenia tego typu kuszą wygodą, należy do nich podchodzić ze szczególną ostrożnością - pobierać tylko te od autoryzowanych developerów. Jeśli permissions obejmują "tabs" oraz "https://mail.google.com/*", wstrzymaj instalację. W środowiskach firmowych whitelisting rozszerzeń jest podstawą: admin definiuje listę dozwolonych ID (ExtensionInstallForcelist wymusza instalację zatwierdzonych, np. LastPass czy Grammarly), a ExtensionInstallBlacklist blokuje pozostałe. W polityce ExtensionSettings (JSON) zablokuj permissions jak "tabs" dla nowych rozszerzeń i zintegruj z SIEM dla alertów o próbach obejścia. Od sztucznej inteligencji nie można uciekać, ale jasno określone zasady korzystnia z niej, to obecnie must have każdej organizacji.
Oceń blog:
Czas czytania: 4 min
Data: 03.04.2026
Terminarz
prev
next
Lista najbliższych webinariów
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
17.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje
Zobacz inne wpisy
Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.
.jpg)
Audyty i Regulacje
.png)
Zabezpieczenia Sieci
Jak używać Hydra THC w protokole FTP lub SSH?
Czytaj więcej
Zabezpieczenia Sieci
Microsoft
.png)
CrowdStrike Falcon Enterprise VELOCITY
Velocity Falcon Enterprise to gotowy pakiet bezpieczeństwa oparty na technologii Falcon Enterprise, rozszerzający ochronę endpointów o EDR/XDR i threat hunting.
Wycena indywidualna
Zobacz więcej
.png)
CrowdStrike Falcon COMPLETE
Falcon Complete to w pełni zarządzana usługa MDR, w której CrowdStrike odpowiada za wykrywanie, analizę i reakcję na incydenty bezpieczeństwa.
Wycena indywidualna
Zobacz więcej
.png)
CrowdStrike Falcon ENTERPRISE
Falcon Enterprise rozszerza ochronę endpointów o EDR/XDR oraz threat hunting, zapewniając widoczność zdarzeń i możliwość reakcji na zaawansowane ataki.
Wycena indywidualna
Zobacz więcej