'Phantom Shuttle'이라는 이름의 두 개의 크롬 확장 프로그램이 프록시 서비스의 플러그인으로 위장하여 사용자 트래픽을 가로채고 민감한 데이터를 도용하고 있다. 이 두 확장 프로그램은 현재까지도 크롬의 공식 마켓플레이스에 존재하며, 적어도 2017년부터 활동해 왔다고 Socket 공급망 보안 플랫폼의 연구자들이 보고하였다. Phantom Shuttle의 주요 대상은 중국의 사용자들로, 국가 내 다양한 위치에서 연결성을 테스트해야 하는 외국 무역 노동자들을 포함한다.
두 확장 프로그램은 동일한 개발자 이름으로 게시되었으며, 트래픽을 프록시하고 네트워크 속도를 테스트할 수 있는 도구로 홍보되었다. 이들은 1.4달러에서 13.6달러 사이의 구독료를 받고 있다. Socket.dev의 연구자들은 Phantom Shuttle이 사용자의 모든 웹 트래픽을 위협 요소에 의해 제어되는 프록시를 통해 전송하며, 이는 하드코딩된 자격 증명을 통해 접근할 수 있다고 말한다. 이 코드는 합법적인 jQuery 라이브러리 앞에 추가되었다.
악성 확장 프로그램은 자동 구성 스크립트를 사용하여 크롬의 프록시 설정을 동적으로 재구성하여 사용자 트래픽을 공격자의 프록시를 통해 자동으로 실행한다. 기본 "smarty" 모드에서는 개발자 플랫폼, 클라우드 서비스 콘솔, 소셜 미디어 사이트, 성인 콘텐츠 포털 등 170개 이상의 고가치 도메인을 프록시 네트워크를 통해 라우팅한다. 제외 목록에는 로컬 네트워크와 명령 및 제어 도메인이 포함되어 있어, 중단과 탐지를 피할 수 있다.
요약
- 'Phantom Shuttle'이라는 크롬 확장 프로그램 두 개가 프록시 서비스 플러그인으로 위장하여 사용자 트래픽을 가로채고 민감한 데이터를 도용하고 있다.
- 이 두 확장 프로그램은 크롬의 공식 마켓플레이스에 존재하며, 주요 대상은 중국의 사용자들이다.
확장 프로그램은 사용자의 모든 웹 트래픽을 위협 요소에 의해 제어되는 프록시를 통해 전송하며, 이는 하드코딩된 자격 증명을 통해 접근할 수 있다. - 악성 확장 프로그램은 크롬의 프록시 설정을 동적으로 재구성하여 사용자 트래픽을 공격자의 프록시를 통해 자동으로 실행한다.
- 확장 프로그램은 중간에서 데이터를 캡처하여 어떤 형태의 데이터든(자격 증명, 카드 정보, 비밀번호, 개인 정보) 도난하고, HTTP 헤더에서 세션 쿠키를 훔치며, 요청에서 API 토큰을 추출할 수 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.