ChromeやFirefox、Edgeで使用することができる人気の拡張機能「Dark Reader」の悪意のある偽物が複数つくられて、各ブラウザの公式拡張機能サイトで公開されていた事がわかりました(Dark Reader blog)。
偽物の拡張機能はEdgeやFirefoxの拡張機能サイトからはすでに削除されていますが、Dark Readerと似た名前が付けられていて、ユーザーが本物と間違えてインストールすることを狙っているようです。
不正なコードは、".png"ファイルの中にエンコードされて隠されていて、ダウンロード後、5日間の間に他のコードを実行します。偽のフォームを使ってWebページからデータを集め、リモートサーバーにデータを送信するという動作を行うそうです。
まぎらわしい名前を使用した悪意のある拡張機能による同様の攻撃は、今回の事例以外にもたびたび起こっていることから、Dark Readerの作者は、信頼できる会社によって作られたものや、オープンソースのもの、レビュアーの評価が多く付けられているものなど、信頼できる拡張機能であることを確認してからブラウザにインストールすることを推奨しています。
