ทุกวันนี้เราใช้ส่วนขยาย (Extension) บนเบราว์เซอร์เพื่อเพิ่มความสะดวกในการทำงาน แต่ใครจะคิดว่าเครื่องมือเล็ก ๆ เหล่านี้อาจกลายเป็นช่องโหว่ใหญ่ที่เปิดทางให้แฮกเกอร์ขโมยข้อมูลธุรกิจ อีเมล และประวัติการท่องเว็บ ล่าสุดนักวิจัยด้านความปลอดภัยไซเบอร์พบหลายกรณีของ Chrome Extension ที่แฝงมัลแวร์ และมีผู้ใช้งานรวมกันนับล้านรายทั่วโลก
เคสแรก คือ ส่วนขยายชื่อ CL Suite by @CLMasters บน Google Chrome ซึ่งถูกออกแบบมาให้ดูเหมือนเครื่องมือช่วยจัดการข้อมูลของ Meta ผ่านระบบ Meta Business Suite และ Facebook Business Manager
โดยอ้างว่าสามารถดึงข้อมูล สร้างรหัส 2FA และปิดหน้าต่างแจ้งเตือนต่าง ๆ ได้ แต่เบื้องหลังกลับแอบส่งข้อมูลสำคัญ เช่น รหัสยืนยันตัวตน (TOTP), รายชื่อผู้ติดต่อ, สิทธิ์การเข้าถึง และข้อมูลวิเคราะห์ธุรกิจ ไปยังเซิร์ฟเวอร์ของผู้โจมตี แม้จะมีผู้ติดตั้งเพียง 33 ราย แต่ก็เพียงพอให้คนร้ายคัดเลือก “เป้าหมายมูลค่าสูง” เพื่อโจมตีต่อได้
อีกกรณีหนึ่งเกิดกับผู้ใช้โซเชียลรัสเซียอย่าง VKontakte (VK) โดยมีแคมเปญชื่อ VK Styles หลอกให้ติดตั้งส่วนขยายตกแต่งหน้าตาเว็บ แต่แท้จริงแล้วเป็นมัลแวร์ที่ยึดบัญชีผู้ใช้กว่า 500,000 ราย
มัลแวร์นี้สามารถบังคับกดติดตามกลุ่มของผู้โจมตี เปลี่ยนการตั้งค่าบัญชีทุก 30 วัน และหลบเลี่ยงระบบป้องกันความปลอดภัยได้อย่างแนบเนียน ที่น่ากังวลคือโค้ดถูกพัฒนาอย่างต่อเนื่องเหมือนซอฟต์แวร์จริง ไม่ใช่งานสมัครเล่น รายชื่อส่วนขยายที่เกี่ยวข้องมีดังต่อไปนี้
- VK Styles – Themes for vk.com (ID: ceibjdigmfbbgcpkkdpmjokkokklodmc)
- VK Music – audio saver (ID: mflibpdjoodmoppignjhciadahapkoch)
- Music Downloader – VKsaver (ID: lgakkahjfibfgmacigibnhcgepajgfdb)
- vksaver – music saver vk (ID: bndkfmmbidllaiccmpnbdonijmicaafn)
- VKfeed – Download Music and Video from VK (ID: pcdgkgbadeggbnodegejccjffnoakcoh)
ขณะเดียวกัน ยังพบส่วนขยาย Chrome กว่า 32 ตัว แอบอ้างเป็นผู้ช่วย AI เช่น แชต สรุปบทความ หรือช่วยตอบอีเมลใน Gmail แต่แท้จริงแล้วทำงานผ่านเซิร์ฟเวอร์ควบคุมจากระยะไกล สามารถดึงเนื้อหาอีเมล บทความที่เปิดอ่าน รวมถึงข้อมูลเสียงพูด ส่งออกไปยังระบบของผู้ไม่หวังดี มียอดติดตั้งรวมกว่า 260,000 ครั้ง รายชื่อส่วนขยายที่เกี่ยวข้องมีดังต่อไปนี้
- AI Assistant (ID: nlhpidbjmmffhoogcennoiopekbiglbp)
- Llama (ID: gcfianbpjcfkafpiadmheejkokcmdkjl)
- Gemini AI Sidebar (ID: fppbiomdkfbhgjjdmojlogeceejinadg)
- AI Sidebar (ID: djhjckkfgancelbmgcamjimgphaphjdl)
- ChatGPT Sidebar (ID: llojfncgbabajmdglnkbhmiebiinohek)
- AI Sidebar (ID: gghdfkafnhfpaooiolhncejnlgglhkhe)
- Grok (ID: cgmmcoandmabammnhfnjcakdeejbfimn)
- Asking Chat Gpt (ID: phiphcloddhmndjbdedgfbglhpkjcffh)
- ChatGBT (ID: pgfibniplgcnccdnkhblpmmlfodijppg)
- Chat Bot GPT (ID: nkgbfengofophpmonladgaldioelckbe)
- Grok Chatbot (ID: gcdfailafdfjbailcdcbjmeginhncjkb)
- Chat With Gemini (ID: ebmmjmakencgmgoijdfnbailknaaiffh)
- XAI (ID: baonbjckakcpgliaafcodddkoednpjgf)
- Google Gemini (ID: fdlagfnfaheppaigholhoojabfaapnhb)
- Ask Gemini (ID: gnaekhndaddbimfllbgmecjijbbfpabc)
- AI Letter Generator (ID: hgnjolbjpjmhepcbjgeeallnamkjnfgi)
- AI Message Generator (ID: lodlcpnbppgipaimgbjgniokjcnpiiad)
- AI Translator (ID: cmpmhhjahlioglkleiofbjodhhiejhei)
- AI For Translation (ID: bilfflcophfehljhpnklmcelkoiffapb)
- AI Cover Letter Generator (ID: cicjlpmjmimeoempffghfglndokjihhn)
- AI Image Generator Chat GPT (ID: ckneindgfbjnbbiggcmnjeofelhflhaj)
- Ai Wallpaper Generator (ID: dbclhjpifdfkofnmjfpheiondafpkoed)
- Ai Picture Generator (ID: ecikmpoikkcelnakpgaeplcjoickgacj)
- DeepSeek Download (ID: kepibgehhljlecgaeihhnmibnmikbnga)
- AI Email Writer (ID: ckicoadchmmndbakbokhapncehanaeni)
- Email Generator AI (ID: fnjinbdmidgjkpmlihcginjipjaoapol)
- DeepSeek Chat (ID: gohgeedemmaohocbaccllpkabadoogpl)
- ChatGPT Picture Generator (ID: flnecpdpbhdblkpnegekobahlijbmfok)
- ChatGPT Translate (ID: acaeafediijmccnjlokgcdiojiljfpbe)
- AI GPT (ID: kblengdlefjpjkekanpoidgoghdngdgl)
- ChatGPT Translation (ID: idhknpoceajhnjokpnbicildeoligdgh)
- Chat GPT for Gmail (ID: fpmkabpaklbhbhegegapfkenkmpipick)
นอกจากนี้ รายงานอีกฉบับยังพบส่วนขยายกว่า 287 ตัว ที่แอบเก็บประวัติการท่องเว็บของผู้ใช้ รวมยอดติดตั้งสูงถึง 37.4 ล้านครั้ง คิดเป็นประมาณ 1% ของผู้ใช้ Chrome ทั่วโลก
ภัยจาก Chrome Extension กำลังเพิ่มขึ้นอย่างเงียบ ๆ แม้จะดูเป็นเครื่องมือช่วยงาน แต่บางตัวอาจซ่อนมัลแวร์ไว้ภายใน ผู้ใช้ควรติดตั้งเฉพาะที่จำเป็น ตรวจสอบสิทธิ์การเข้าถึงเสมอ และแยกโปรไฟล์เบราว์เซอร์สำหรับงานสำคัญเพื่อลดความเสี่ยง
เมื่อภัยไซเบอร์พัฒนาเร็วขึ้น ธุรกิจออนไลน์ยิ่งต้องมีโครงสร้างพื้นฐานที่ปลอดภัย การเลือกใช้โฮสติ้งที่มีระบบป้องกันและดูแลความปลอดภัยที่ดีจึงสำคัญมาก
ถ้าองค์กรคุณทำงานผ่านบัญชีโฆษณา/เพจ/อีเมลธุรกิจทุกวัน การป้องกันฝั่ง “เครื่องผู้ใช้ + ระบบหลังบ้าน” สำคัญมาก
hostatom สามารถช่วยวางระบบให้ปลอดภัยขึ้น เช่น แยกงานสำคัญไปรันบนเครื่อง/เซิร์ฟเวอร์ที่ควบคุมสิทธิ์ได้, ตั้งค่า Firewall/VPN, ทำสำรองข้อมูล และวางแนวทางใช้งานสำหรับทีมงาน
ที่มา: The Hacker News
