Badacze zajmujący się bezpieczeństwem odkryli dwie złośliwe rozszerzenia do przeglądarki Google Chrome o tej samej nazwie — Phantom Shuttle — które potrafią przechwytywać ruch sieciowy i wykradać poświadczenia użytkowników.
Rozszerzenia są promowane jako „wtyczka do testowania prędkości sieci w wielu lokalizacjach” dla programistów i osób zajmujących się handlem zagranicznym. Oba są wciąż dostępne do pobrania. Szczegóły identyfikujące warianty to:
- Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2 000 użytkowników (opublikowane 26 listopada 2017)
- Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 użytkowników (opublikowane 27 kwietnia 2023)
Rozszerzenia sprzedawane są w modelu subskrypcyjnym: ceny podane przez autorów to ¥9.9–¥95.9 CNY (w komunikacie podano równowartość $1,40–$13,50, co daje ~6–57 zł). Użytkownicy, którzy wykupili subskrypcję, otrzymują status VIP i aktywację trybu proxy oznaczanego jako „smarty”.
Na pierwszy rzut oka produkt działa zgodnie z obietnicami — przeprowadza testy opóźnień na serwerach proxy i wyświetla status połączenia — co ma budować pozory legalnej usługi. Równocześnie jednak wewnątrz rozszerzeń ukryto złośliwe mechanizmy. Badacze zidentyfikowali modyfikacje w dwóch dołączonych bibliotekach JavaScript: jquery-1.12.2.min.js oraz scripts.js. Zmiany te służą automatycznemu wstrzykiwaniu twardo zakodowanych poświadczeń proxy (topfany / 963852wei) do każdego żądania uwierzytelnienia HTTP przez zarejestrowanie nasłuchiwacza na chrome.webRequest.onAuthRequired.
Mechanizm działa tak, że gdy strona lub usługa zażąda uwierzytelnienia HTTP (Basic Auth, Digest Auth lub uwierzytelnienie proxy), rozszerzenie „przechwytuje” to zdarzenie i automatycznie przesyła wspomniane, stałe poświadczenia — zanim przeglądarka zdąży wyświetlić użytkownikowi okno logowania. Dzięki zastosowaniu trybu asyncBlocking wstrzyknięcie odbywa się synchronicznie i uniemożliwia interakcję użytkownika.
Po pomyślnym uwierzytelnieniu do serwera proxy rozszerzenie zmienia ustawienia proxy przeglądarki, używając skryptu Proxy Auto-Configuration (PAC). Skrypt obsługuje trzy tryby działania:
- close — wyłącza funkcjonalność proxy;
- always — przekierowuje cały ruch przez proxy;
- smarty — przekierowuje przez proxy ruch do twardo zakodowanej listy ponad 170 wybranych domen.
Na liście docelowych domen znajdują się platformy deweloperskie (m.in. GitHub, Stack Overflow, Docker), usługi chmurowe (Amazon Web Services, Digital Ocean, Microsoft Azure), rozwiązania korporacyjne (Cisco, IBM, VMware), serwisy społecznościowe (Facebook, Instagram, Twitter) oraz serwisy pornograficzne. Badacze sugerują, że obecność treści dla dorosłych może być wykorzystywana do wymuszeń lub szantażu.
W praktyce ruch użytkowników jest kierowany przez serwery kontrolowane przez napastnika, a rozszerzenie utrzymuje stałe połączenie kontrolne z serwerem command-and-control (C2) pod domeną phantomshuttle[.]space, która pozostaje aktywna. Pozycja „man-in-the-middle” pozwala atakującemu na przechwytywanie ruchu, modyfikowanie odpowiedzi i wstrzykiwanie dowolnych ładunków.
Dodatkowo mechanizmy telemetryczne i eksfiltracji działają ciągle: rozszerzenie utrzymuje „heartbeat” co 60 sekund, a jednocześnie wysyła do zewnętrznego serwera przez zapytania HTTP GET dane VIP-owego użytkownika — w tym adres e‑mail, hasło w postaci jawnej oraz numer wersji — co pięć minut. W efekcie napastnik otrzymuje zarówno bieżące poświadczenia, jak i możliwość monitorowania sesji użytkownika.
Konsekwencje tego działania są poważne: podczas gdy tryb VIP jest aktywny, rozszerzenie może przechwytywać hasła, numery kart płatniczych, ciasteczka uwierzytelniające, historię przeglądania, dane z formularzy, klucze API i tokeny dostępu dla odwiedzanych, objętych listą domen. Dla środowisk deweloperskich kradzież sekretów może dodatkowo otworzyć drogę do ataków na łańcuch dostaw oprogramowania.
Nie wiadomo, kto stoi za tą ośmioletnią operacją. Wskazówki takie jak opis rozszerzeń w języku chińskim, integracja płatności przez Alipay/WeChat Pay oraz wykorzystanie usługi Alibaba Cloud do hostingu domeny C2 sugerują operację prowadzoną z Chin, lecz tożsamość sprawców pozostaje nieustalona.
Odkrycie podkreśla, że rozszerzenia przeglądarek mogą stać się niezarządzaną warstwą ryzyka dla firm i użytkowników. Zalecenia od badaczy i praktyczne kroki obronne to:
- natychmiastowe usunięcie zainstalowanych rozszerzeń Phantom Shuttle przez użytkowników;
- dla zespołów bezpieczeństwa — wdrożenie białych list rozszerzeń (extension allowlisting) i kontrolowanie instalacji dodatków;
- monitorowanie instalacji rozszerzeń, które łączą mechanizmy płatności subskrypcyjnej z uprawnieniami proxy;
- wprowadzenie nadzoru sieciowego pod kątem podejrzanych prób uwierzytelnienia proxy i nietypowych konfiguracji PAC.
Usunięcie rozszerzenia i weryfikacja poświadczeń używanych w przeglądarce (hasła, tokeny, ciasteczka) są pierwszymi krokami, które powinien wykonać podejrzany użytkownik, a organizacje powinny traktować taki przypadek jako priorytetowego incydenta bezpieczeństwa.
