概要

Google Chromeの2つの拡張機能が、所有権の移転が原因で悪意のあるものに変化し、攻撃者がマルウェアをダウンストリームのユーザーに配布したり、任意のコードを挿入したり、機密データを収集したりする手段を提供しています。

悪意のあるChrome拡張機能

これらの拡張機能は、開発者「akshayanuonline@gmail.com」（BuildMelon）に関連付けられていたが、現在は「loraprice198865@gmail.com」と「support@doodlebuggle.top」に所有権が移転しています。

• QuickLens – Google Lensで画面を検索（ID: kdenlnncndfnhkognokgfpabgkgehodd）：7,000人のユーザー
• ShotBird – スクロールショット、ツイート画像およびエディタ（ID: gengfhhkjekmlejbhmmopegofnoifnjp）：800人のユーザー

QuickLensは現在、Chromeウェブストアからダウンロードできなくなっていますが、ShotBirdは引き続き利用可能です。

QuickLensの悪意のある更新

QuickLensの2026年2月17日の悪意のある更新は、セキュリティヘッダーを削除し、任意のドメインへのリクエストを送信する機能を追加しました。また、ユーザーの国を特定し、ブラウザとオペレーティングシステムを検出し、外部サーバーからJavaScriptを取得する機能も追加されました。

ShotBirdの悪意のある更新

ShotBirdの悪意のある更新は、ユーザーに偽のGoogle Chromeブラウザアップデートを表示し、ユーザーが「cmd.exe」を起動し、PowerShellコマンドを実行すると、悪意のある「googleupdate.exe」をダウンロードします。これにより、ユーザーの入力データが収集されます。

脅威の分析

これらの拡張機能は、同様のコマンド＆コントロール（C2）アーキテクチャパターンを使用しており、同じ脅威アクターがこれらの拡張機能を操作していると推定されています。

対策

ユーザーは、これらの悪意のある拡張機能をすぐに削除し、信頼できない生産性拡張機能のインストールを避けるべきです。

---

元記事: https://thehackernews.com/2026/03/chrome-extension-turns-malicious-after.html