16 kötü amaçlı tarayıcı uzantısından oluşan bir grup, kullanıcı hesaplarını ele geçirmek amacıyla ChatGPT verimliliğine yardımcı oluyormuş gibi görünürken yakalandı. Araştırma firması LayerX Security tarafından keşfedilen bu eklentiler, ChatGPT’nin kendisine sızmaya çalışmıyor, bunun yerine kullanıcının oturum açıp dijital kimlik bilgilerini almasını bekliyor.
Kampanya, tamamı aynı tehdit aktörü tarafından geliştirilen en az 16 farklı uzantı içeriyor. Bu, daha geniş erişim sağlamak ve bir sürümün işaretlenmesi durumunda kampanyayı canlı tutmak için hesaplanmış bir hareket gibi görünüyor, zira diğerleri kullanıcıların bilgisayarlarına girecek.
Kampanya şu ana kadar yaklaşık 900 indirme görmüş olsa da (LayerX araştırmacıları GhostPoster gibi büyük dolandırıcılıklarla karşılaştırıldığında bu rakamı “kovada düşüş” olarak adlandırıyor), tehlike, kullanıcıların bu araçlara ne kadar güvendiklerinde yatıyor.
Hatta bir sürüm, Chrome Web Mağazası’nda “öne çıkan” bir rozet taşımayı başardı ve bu da ona bir miktar otorite havası verdi. LayerX şimdi halka açılmaya karar verdi çünkü bu “GPT optimize ediciler” VPN’ler kadar yaygın hale geliyor ve tehdidi “kritik bir kitleye” ulaşmadan durdurmak istiyorlardı. Bu bulgular yalnızca Hackread.com ile paylaşıldı.
Özel Hayatınıza Dijital Anahtar Almak
Dolandırıcılık, oturum belirteçleri olarak bilinen öğelerin çalınmasına dayanıyor. Bunları, bir web sitesine zaten oturum açtığınızı bildiren geçici bir dijital anahtar olarak düşünün. LayerX’in güvenlik araştırmacısı ve blog yazısı yazarı Natalie Zargarov, saldırganların bu anahtarları ele geçirerek “onların kimliğine bürünerek kullanıcının tüm ChatGPT konuşmalarına, verilerine veya kodlarına erişmelerine olanak tanıyabileceğini” açıkladı.
Bu hırsızlığın kapsamı şaşırtıcı derecede derin. Birçok kişi yapay zeka araçlarını çalışma platformlarına bağladığından, bilgisayar korsanları potansiyel olarak özel Slack kanallarını, GitHub kod depolarını ve Google Drive dosyalarını görebilir.
Üstelik araştırma, yazılımın tarayıcının yüksek ayrıcalıklı bir bölümünde çalıştığını ortaya çıkardı; bu, geleneksel güvenlik yazılımlarının sıklıkla gözden kaçırdığı verileri “gözlemleyebileceği veya değiştirebileceği” anlamına geliyor.
Kampanya Koordineli Bir Saldırı Gibi Görünüyor
LayerX araştırmacıları bunun bir dizi kaza değil, tek ve organize bir çaba olduğuna inanıyor. Daha fazla araştırma yaptıklarında, bu araçlardan 15 tanesinin Chrome mağazasında, birinin ise Microsoft Edge pazarında bulunduğunu belirlediler. Hepsi aynı karmaşık kodu paylaşıyor ve saldırgan tarafından kontrol edilen belirli alan adlarıyla iletişim kuruyor. chatgptmods.com Ve Imagents.top.
Bir başka rahatsız edici kısım da, bu uzantıların çoğunlukla aynı gün toplu olarak yüklenmiş olması ve meşru görünmek için neredeyse aynı simgeleri ve açıklamaları kullanmasıdır.
Rapor, “Kampanyadaki uzantıların çoğu, nispeten düşük bireysel kurulum sayıları gösteriyor; yalnızca küçük bir alt küme daha yüksek benimsenmeye ulaşıyor. LayerX olarak bu yayınla, kampanyanın minimum etkiyle erken bir aşamada durdurulmasını umuyoruz.”
Güvende kalmak için, AI bağlantılı herhangi bir uzantıyı yüksek riskli bir uygulama olarak değerlendirmelisiniz. ChatGPT için tanımadığınız herhangi bir “yardımcı” aracınız varsa, en iyi hareket onları silmektir.