Google ลบ Extension ดัง หลังแฮกฝังมัลแวร์ ขโมยคริปโตเหยื่อกว่า 7,000 ราย

QuickLens ถูกเปลี่ยนเจ้าของก่อนฝังโค้ดอันตราย ดูด Seed Phrase และข้อมูลสำคัญจากผู้ใช้โดยไม่รู้ตัว

Google ตัดสินใจถอดส่วนเสริม (Extension) ชื่อ “QuickLens - Search Screen with Google Lens” ออกจาก Chrome Web Store อย่างเป็นทางการ หลังพบว่าถูกแฮกและฝังมัลแวร์ลงในเวอร์ชันล่าสุด ส่งผลให้มีผู้ใช้งานกว่า 7,000 รายตกเป็นเหยื่อโดยไม่รู้ตัว

รายงานจาก SCWorld ระบุว่า ปัญหาเริ่มต้นหลังจากสิทธิ์ความเป็นเจ้าของ (Ownership) ของ Extension ถูกเปลี่ยนมือไปยังผู้พัฒนารายใหม่ ก่อนที่เวอร์ชัน 5.8 จะถูกแทรกโค้ดอันตรายเข้าไป

มัลแวร์ที่ถูกฝังนั้นมีการปรับแต่งระบบความปลอดภัย โดยลบ Content-Security-Policy ออก และขอ Permission ในระดับสูงผิดปกติ ทำให้สามารถรัน JavaScript ติดต่อกับเซิร์ฟเวอร์ควบคุม (C2) เพื่อส่งข้อมูลผู้ใช้งาน เช่น Fingerprint และรอรับคำสั่งเพิ่มเติม

จุดอันตรายที่สุดคือ มัลแวร์ตัวนี้สามารถขโมยข้อมูลสำคัญได้โดยตรง โดยเฉพาะ Seed Phrase ของกระเป๋าคริปโตยอดนิยม เช่น MetaMask และ Phantom รวมถึงรหัสผ่านและข้อมูลส่วนตัวอื่น ๆ

นอกจากนี้ยังมีการใช้เทคนิค ClickFix หลอกเหยื่อผ่านการแจ้งเตือนปลอม เช่น “ต้องอัปเดต” หรือ “เกิดข้อผิดพลาด” เพื่อให้ผู้ใช้ดาวน์โหลดไฟล์มัลแวร์เพิ่มเติมโดยสมัครใจ

เหตุการณ์นี้สะท้อนให้เห็นว่า แม้แต่ Extension บน Chrome Web Store ที่ดูน่าเชื่อถือ ก็อาจกลายเป็นภัยได้ทันที หากถูกเปลี่ยนเจ้าของหรือถูกแทรกโค้ดในภายหลัง

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้งานตรวจสอบ Extension ที่ติดตั้งอยู่ทันที โดยเฉพาะตัวที่มีสิทธิ์เข้าถึงข้อมูลจำนวนมาก และหลีกเลี่ยงการกรอกข้อมูลสำคัญหากพบพฤติกรรมผิดปกติ