Keamanan ekosistem peramban kembali menjadi sorotan tajam setelah peneliti dari LayerX Security mengungkap kampanye berbahaya berskala besar yang menargetkan pengguna Google Chrome. Kampanye yang dijuluki “AiFrame” ini melibatkan sedikitnya 30 ekstensi berbahaya yang menyamar sebagai alat produktivitas berbasis kecerdasan buatan (AI) populer seperti ChatGPT, Gemini, hingga Grok.
Modus Operandi: Eksploitasi Popularitas AI
Para pelaku ancaman memanfaatkan tren adopsi AI yang masif untuk memancing pengguna mengunduh perangkat lunak berbahaya. Berdasarkan laporan LayerX, ekstensi-ekstensi ini telah diunduh lebih dari 260.000 kali melalui Chrome Web Store resmi. Teknik yang digunakan mencakup penggunaan nama yang mirip (typosquatting) hingga penggunaan nama generik yang terdengar resmi untuk membangun kepercayaan semu.
Daftar Ekstensi dengan Instalasi Tertinggi
| Nama Ekstensi | Estimasi Instalasi |
|---|---|
| Gemini AI Sidebar | 80.000+ |
| AI Assistant | 50.000+ |
| AI Sidebar | 50.000+ |
| ChatGPT Translate | 30.000+ |
| AI GPT | 20.000+ |
Anatomi Serangan: Teknik Extension Spraying
Yang membuat kampanye AiFrame sangat berbahaya adalah kemampuannya melewati sistem verifikasi keamanan Google. Alih-alih menjalankan kode berbahaya secara lokal saat proses peninjauan, ekstensi ini menyematkan komponen jarak jauh dari server eksternal setelah terpasang di peramban pengguna.
Metode ini memungkinkan pelaku mengubah perilaku ekstensi secara dinamis tanpa perlu memperbarui kode di toko aplikasi. Peneliti menyebut teknik ini sebagai extension spraying, di mana pelaku dengan cepat mengunggah ulang varian baru dengan ID berbeda jika versi sebelumnya dihapus oleh Google. Hal ini menciptakan siklus ancaman yang sulit diputus secara permanen.
Risiko Pencurian Data dan Privasi
Dengan izin akses yang luas, ekstensi ini bertindak sebagai platform pengawasan tersembunyi yang mampu membaca isi tab aktif, menyalin teks, hingga memantau aktivitas perbankan. Data sensitif seperti kata sandi dan informasi finansial dikirimkan langsung ke server milik penyerang.
- Pencurian Kredensial: Mengambil username dan password secara otomatis dari formulir login.
- Monitoring Aktivitas: Melacak riwayat penelusuran untuk memetakan profil target secara mendalam.
- Injeksi Kode: Menyisipkan skrip berbahaya ke situs web yang dikunjungi pengguna untuk manipulasi data.
Para ahli keamanan menekankan bahwa ekstensi yang menyerahkan fungsi utamanya ke infrastruktur jarak jauh harus diperlakukan sebagai potensi alat pengintaian. Pengguna disarankan untuk segera melakukan audit terhadap ekstensi yang terpasang, menghapus alat yang tidak dikenal, dan hanya menginstal perangkat lunak dari pengembang resmi yang terverifikasi.