Jeśli instalujesz rozszerzenia do Chrome (a kto z nas tego nie robi?), to ten artykuł powinien Cię zmrozić. Zespół badaczy z Socket.dev właśnie ujawnił ogromną kampanię złośliwych rozszerzeń – aż 108 sztuk działało jak jedna dobrze zorganizowana armia. Wszystkie łączą się z tą samą infrastrukturą C2 (serwerem dowodzenia) pod adresem cloudapi.stream i wspólnie kradną dane, sesje oraz robią inne paskudne rzeczy.
Na chwilę obecną (kwiecień 2026) te rozszerzenia wciąż są dostępne w Chrome Web Store i mają w sumie około 20 tysięcy instalacji.
Na pierwszy rzut oka – całkiem normalne rozszerzenia
Twórcy nie kombinowali z ukrytymi nazwami. Rozszerzenia udawały zupełnie legitne narzędzia:
- klienci Telegrama w panelu bocznym,
- gry typu slot machine i keno,
- ulepszacze YouTube i TikToka,
- narzędzie do tłumaczenia tekstu,
- różne „przydatne” utility do stron.
Użytkownik instaluje, wszystko działa jak powinno… a w tle cichutko działa złośliwy kod, który wysyła dane na serwer atakującego.
Najgorsze z najgorszych: kradzież sesji Telegrama
Najgroźniejsze jest rozszerzenie Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa).
Jak tylko wejdziesz na web.telegram.org, rozszerzenie natychmiast wyciąga cały localStorage (czyli wszystkie dane sesji) i co 15 sekund wysyła je na serwer tg.cloudapi.stream.
To nie jest jednorazowa kradzież – to ciągłe monitorowanie. Atakujący może w każdej chwili przejąć Twoją sesję Telegrama (bez hasła i 2FA!) i czytać wiadomości, kontakty, wszystko.
Co więcej, rozszerzenie potrafi też wstrzykiwać cudzą sesję do Twojej przeglądarki – czyli atakujący może Cię wylogować i zalogować jako ktoś inny.
Drugie rozszerzenie (Teleside) ma już przygotowaną całą infrastrukturę do kradzieży sesji, tylko kod aktywujący jest jeszcze „uśpiony”. Gotowe do użycia w każdej chwili.
Kradzież kont Google – 54 rozszerzenia
Ponad połowa z tej paczki (54 sztuki) kradnie dane Twojego konta Google zaraz po tym, jak klikniesz „Zaloguj się”.
Używa do tego oficjalnego API chrome.identity.getAuthToken – czyli Chrome sam pokazuje okno logowania Google. Potem rozszerzenie wyciąga Twój email, imię, zdjęcie profilowe i unikalny identyfikator konta (sub) i wysyła to prosto na serwer atakującego.
Universal backdoor w 45 rozszerzeniach
W 45 rozszerzeniach siedzi identyczna funkcja loadInfo(), która uruchamia się przy każdym starcie przeglądarki.
Rozszerzenie wysyła do serwera ID samego siebie i… dostaje w odpowiedzi adres URL, który Chrome automatycznie otwiera w nowej karcie. Atakujący może Ci otworzyć dowolną stronę – phishing, malware, cokolwiek – bez Twojej wiedzy.
Inne „prezenty” od tej kampanii
- 2 rozszerzenia do YouTube i 1 do TikToka – usuwają zabezpieczenia strony i wstrzykują własne reklamy (w tym hazardowe banery).
- 2 rozszerzenia wstrzykują skrypty na każdą stronę, którą odwiedzasz.
- 1 rozszerzenie do tłumaczenia – proxy’uje wszystkie Twoje tłumaczone teksty przez serwer atakującego (w tym Twój email i imię przy rejestracji).
Wszystko pod jedną kontrolą – Malware-as-a-Service
Cała paczka łączy się z tym samym serwerem w Contabo (IP 144.126.135.238). Są tam subdomeny na wszystko: kradzież sesji, kradzież tożsamości, płatności, gry, reklamy…
Wygląda na to, że to gotowy produkt Malware-as-a-Service – ktoś kupuje dostęp i dostaje gotowe konta ofiar, sesje Telegrama itp.
Twórcy ukrywali się pod pięcioma nazwami wydawców: Yana Project, GameGen, SideGames, Rodeo Games, InterAlt. Wszystkie prowadzą do tych samych dwóch projektów Google Cloud.
Co robić, jeśli masz któreś z tych rozszerzeń?
- Natychmiast je usuń – sprawdź listę zainstalowanych rozszerzeń.
- Jeśli miałeś Telegram Multi-account – zaloguj się do Telegrama z telefonu i w Ustawieniach → Urządzenia zakończ wszystkie inne sesje.
- Jeśli logowałeś się Google w jakimkolwiek z tych „gier” lub sidebarów – wejdź na myaccount.google.com/permissions i odwołaj dostęp nieznanych aplikacji.
- Zablokuj domenę cloudapi.stream (i wszystkie subdomeny) w firewallu/routerze, jeśli możesz.
Pełna lista IOC (wskaźników kompromitacji) jest w oryginalnym artykule Socket.dev – warto tam zajrzeć.
Podsumowanie
To nie jest pojedynczy złośliwy extension. To profesjonalna, dobrze zorganizowana kampania, która wykorzystuje zaufanie użytkowników Chrome Web Store.
Pamiętaj: nawet jeśli rozszerzenie ma 10 tys. instalacji i ładne recenzje – nie znaczy, że jest bezpieczne. Zawsze sprawdzaj uprawnienia, a najlepiej instaluj tylko te naprawdę potrzebne.
Źródło analizy: Socket.dev Threat Research (13 kwietnia 2026).