Δύο απατεώνες επεκτάσεις του Chrome έχουν θέσει σε κίνδυνο περισσότερους από 900.000 χρήστες μέσω της μυστικής διείσδυσης των συνομιλιών ChatGPT και DeepSeek, μαζί με πλήρη ιστορικά περιήγησης, σε διακομιστές εισβολέων.
Ανακαλύφθηκε από ερευνητές της OX Security, το κακόβουλο λογισμικό υποδύεται το νόμιμο εργαλείο πλευρικής γραμμής AI AITOPIA AI, με ένα ψεύτικο να κερδίζει ακόμη και το σήμα “Επιλεγμένα” της Google.
Η ομάδα έρευνας OX αναγνωρισθείς η απειλή κατά τη διάρκεια της ανάλυσης ρουτίνας, αποκαλύπτοντας επεκτάσεις που κλωνοποιούν τη διεπαφή του AITOPIA για συνομιλία με LLM όπως οι GPT και Claude.
Με την ονομασία “Chat GPT για Chrome με GPT-5, Claude Sonnet & DeepSeek AI” (600K+ χρήστες, ID: fnmihdojmnkclgjpcoonokmkhjpjechg, έκδοση 1.9.6) και “AI Sidebar με Deepseek, ChatGPT, Claude και περισσότερους χρήστες”, ID: inhcgfpbfdjbjogdfjbclgolkmhnooop), ζητούν συναίνεση “ανώνυμων αναλυτικών στοιχείων” για την απόκρυψη κλοπής δεδομένων.
Οι φορείς απειλών φιλοξενούν πολιτικές απορρήτου στο Lovable.dev για να αποκρύψουν τις προελεύσεις και οι απεγκατεστημένες επεκτάσεις ανακατευθύνονται στο άλλο.
Πώς λειτουργεί το κακόβουλο λογισμικό
Καρτέλες παρακολούθησης εγκατεστημένων επεκτάσεων μέσω του chrome.tabs.onUpdated API, δημιουργώντας ένα μοναδικό “gptChatId” ανά θύμα. Κατά τον εντοπισμό διευθύνσεων URL του chatgpt.com ή του deepseek.com, σκουπίζουν στοιχεία DOM για μηνύματα προτροπής, απαντήσεις και αναγνωριστικά περιόδου σύνδεσης, αποθηκεύοντας δεδομένα τοπικά πριν από την κωδικοποίηση από το Base64 και αποστολή παρτίδων σε διακομιστές C2 όπως deepaichats.com ή chatsaigpt.com κάθε 30 λεπτά.
Αυτό καταγράφει ιδιόκτητο κώδικα, επιχειρηματικές στρατηγικές, PII, ερωτήματα αναζήτησης και εσωτερικές διευθύνσεις URL που χάνονται από τον αποκαλυπτόμενο χώρο αποθήκευσης διακομιστή της AITOPIA.
Οι κλεμμένες συνομιλίες κινδυνεύουν να αποκαλύψουν πνευματική ιδιοκτησία, εταιρικά μυστικά και προσωπικά δεδομένα για κατασκοπεία ή πώληση σε φόρουμ του σκοτεινού Ιστού. Η περιήγηση στα αρχεία καταγραφής αποκαλύπτει συνήθειες, διακριτικά και οργανωτικές δομές, επιτρέποντας το ηλεκτρονικό ψάρεμα ή κλοπή ταυτότητας στις πληγείσες επιχειρήσεις.
Από τις 7 Ιανουαρίου 2026, και οι δύο επεκτάσεις παραμένουν με δυνατότητα λήψης, με την πρώτη να αφαιρείται από την κατάσταση “Επιλεγμένη” μετά την αποκάλυψη, αλλά να ενημερώθηκε μόλις τον Οκτώβριο του 2025.
Οι χρήστες θα πρέπει να επισκεφτούν το chrome://extensions, να καταργήσουν με αναγνωριστικό ή να χρησιμοποιήσουν σελίδες καταστήματος: Επέκταση ChatGPT, AI Sidebar. Αποφύγετε τις μη επαληθευμένες επεκτάσεις ανεξάρτητα από τα σήματα. εμμείνετε σε αξιόπιστες πηγές.
IoC
| Τύπος | Αξία | Σημειώσεις |
|---|---|---|
| Όνομα επέκτασης | Chat GPT για Chrome με GPT-5, Claude Sonnet & DeepSeek AI | Κακόβουλη επέκταση τύπου πλευρικής γραμμής AI |
| Αναγνωριστικό επέκτασης | fnmihdojmnkclgjpcoonokmkhjpjechg | Αναγνωριστικό Chrome Web Store |
| Εκδοχή | 1.9.6 | Αναφέρθηκε κακόβουλη κατασκευή |
| SHA-256 κατακερματισμός | 98d1f151872c27d0abae3887f7d6cb6e4ce29e99ad827cb077e1232bc4a69c00 | Κατακερματισμός πακέτου |
| Όνομα επέκτασης | AI Sidebar με Deepseek, ChatGPT, Claude και άλλα | Δεύτερη κακόβουλη επέκταση |
| Αναγνωριστικό επέκτασης | inhcgfpbfdjbjogdfjbclgolkmhnooop | Αναγνωριστικό Chrome Web Store |
| Εκδοχή | 1.6.1 | Αναφέρθηκε κακόβουλη κατασκευή |
| SHA-256 κατακερματισμός | 20ba72e91d7685926c8c1c5b4646616fa9d769e32c1bc4e9f15dddaf3429cea7 | Κατακερματισμός πακέτου |
Δίκτυο και C2 IoC
| Κατηγορία | Τομέας / Τελικό σημείο | Σημειώσεις |
|---|---|---|
| C2 τελικό σημείο | deepaichats[.]com | Λαμβάνει κλεμμένα δεδομένα συνομιλίας και διευθύνσεις URL |
| C2 τελικό σημείο | chatsaigpt[.]com | Πρόσθετο C2 για δεδομένα που έχουν διεισδυθεί |
| Διακομιστής με αξιαγάπητη φιλοξενία | chataigpt[.]υπέρ | Χρησιμοποιείται για πολιτική απορρήτου / φιλοξενία infra |
| Διακομιστής με αξιαγάπητη φιλοξενία | chatgptsidebar[.]υπέρ | Χρησιμοποιείται για απεγκατάσταση ανακατεύθυνσης και infra |
