2024年3月1日、Twitterユーザー@doomxbtが自身のBinanceアカウントからの不正な資金流出を報告しました。この事件を皮切りに、同様の被害が続出し、問題となったのはChromeウェブストアで多くの好評を得ていた偽装された拡張機能「Aggr」でした。

1. 背景と発見

1.1 事件の発端

@doomxbtが異常を報告した後、2024年5月28日に@Tree_of_Alphaが詳細な分析を行い、偽のAggr拡張機能がユーザーの訪問サイトのすべてのクッキーを盗むことが明らかになりました。この拡張機能は2ヶ月前に影響力のある人物によってプロモーションされていました。

2. 偽装拡張機能の詳細分析

2.1 コード分析

Googleにより削除されたこの拡張機能を調査するため、背景や内容、そして疑わしいコードを解析しました。特に、jqueryファイルがクッキーを外部サーバーに送信していることが判明しました。

2.2 テスト環境での確認

新たなテスト環境でこの拡張機能をインストールし、ネットワークトラフィックを監視することで、Googleのクッキー情報が外部サーバーに送信されていることを確認しました。

3. 攻撃の仕組みと影響

3.1 悪意あるサーバー

偽装拡張機能は、ユーザーの認証情報やクッキーを盗み、これらの情報を用いて取引サイトでの不正行為を行うためのものでした。攻撃者は、aggrtrade-extension[.]comというサイトを通じてデータを収集していました。

3.2 攻撃者の特定

調査の結果、攻撃者のIPはモスクワにあり、VPSサービスを利用していることが判明しました。

まとめ

偽装されたChrome拡張機能は、大きなセキュリティリスクをもたらします。拡張機能をインストールする際は慎重に検討し、信頼できる情報源からのみインストールすることが重要です。