人気のChromeアドオン「QuickLens – Search Screen with Google Lens」が、ユーザーの信頼を悪用し、セキュリティヘッダーを削除するスクリプトインジェクション攻撃プラットフォームに変貌したことが明らかになりました。
背景と経緯
「QuickLens」は当初、Google Lensの機能を強化するためのシンプルなツールとして開発されました。しかし、所有者が突然変更され、わずか数日で悪意のあるアップデートが行われました。
悪意ある更新
2026年2月17日にリリースされたバージョン5.8では、新しいネットワークアクセス権限とルールファイルが追加され、C2サーバーとの通信機能が導入されました。この更新により、Chromeブラウザのセキュリティヘッダーを削除し、任意のスクリプトを実行することが可能になりました。
攻撃手法
「QuickLens」は、C2サーバーから配信されるJavaScriptコードを使用して、ユーザーが訪問するウェブサイトに任意のスクリプトをインジェクトします。この手法により、攻撃者はユーザーのセッションデータやフォーム入力情報を読み取り、ページコンテンツをスクレイピングし、ブラウザコンテキストを通じて情報を漏洩させることができます。
対策
この事件は、企業がブラウザ拡張機能の所有者変更や新しいネットワークアクセス権限を監視する必要性を示しています。また、実行時挙動分析を使用して、隠れたスクリプトインジェクションパターンを検出することが重要です。
インデックス・オブ・コムパニケーション
- 拡張機能ID: kdenlnncndfnhkognokgfpabgkgehodd
- 拡張機能名: QuickLens – Search Screen with Google Lens
- C2ドメイン: api.extensionanalyticspro[.]top
- 開発者メールアドレス: support@doodlebuggle[.]top
- プライバシーポリシーURL: kowqlak[.]lat
- 悪意あるバージョン: 5.8
- SHA256: fa3d0c8c8e9f3dacaa9f34e42ad63dceeba16689e055b90e9a903fa274d35df0