Pengguna Chrome perlu lebih waspada. Pasalnya, sebuah kampanye terkoordinasi diketahui menyebarkan ekstensi berbahaya yang menyamar sebagai tools AI populer seperti ChatGPT, Claude, Gemini, hingga Grok. Sekilas terlihat meyakinkan, tapi di balik tampilannya, ekstensi ini diam-diam berubah menjadi alat pengintai.
Baca Juga : Ekstensi Chrome Trust Wallet Diretas, Pengguna Alami Kerugian Besar
Lebih dari 260.000 pengguna tercatat telah menginstalnya. Angka yang tidak sedikit untuk sebuah operasi yang ternyata terorganisir dengan rapi.
Menyamar Jadi Asisten AI
Peneliti keamanan menemukan setidaknya 30 ekstensi Chrome yang dipromosikan sebagai alat AI. Fungsinya terdengar menarik: merangkum teks, chatbot pintar, penerjemah otomatis, generator gambar, sampai peningkat produktivitas Gmail.
Namun meskipun nama dan ikon yang digunakan berbeda-beda, seluruh ekstensi ini memiliki basis kode, izin (permissions), dan infrastruktur backend yang sama. Artinya? Semuanya terhubung dalam satu operasi terpusat.
Yang lebih mengejutkan, beberapa ekstensi bahkan sempat mendapatkan label “Featured” di Chrome Web Store, sehingga terlihat lebih terpercaya dan mendorong lebih banyak unduhan.
Berikut daftar ekstensi berbahaya yang berhasil diidentifikasi:
| Extension ID | Nama | Jumlah Instal |
|---|---|---|
| nlhpidbjmmffhoogcennoiopekbiglbp | AI Assistant | 50.000 |
| gcfianbpjcfkafpiadmheejkokcmdkjl | Llama | 147 |
| fppbiomdkfbhgjjdmojlogeceejinadg | Gemini AI Sidebar | 80.000 |
| djhjckkfgancelbmgcamjimgphaphjdl | AI Sidebar | 9.000 |
| llojfncgbabajmdglnkbhmiebiinohek | ChatGPT Sidebar | 10.000 |
| gghdfkafnhfpaooiolhncejnlgglhkhe | AI Sidebar | 50.000 |
| cgmmcoandmabammnhfnjcakdeejbfimn | Grok | 261 |
| phiphcloddhmndjbdedgfbglhpkjcffh | Asking Chat Gpt | 396 |
| pgfibniplgcnccdnkhblpmmlfodijppg | ChatGBT | 1.000 |
| nkgbfengofophpmonladgaldioelckbe | Chat Bot GPT | 426 |
| gcdfailafdfjbailcdcbjmeginhncjkb | Grok Chatbot | 225 |
| ebmmjmakencgmgoijdfnbailknaaiffh | Chat With Gemini | 760 |
| baonbjckakcpgliaafcodddkoednpjgf | XAI | 138 |
| fdlagfnfaheppaigholhoojabfaapnhb | Google Gemini | 7.000 |
| gnaekhndaddbimfllbgmecjijbbfpabc | Ask Gemini | 1.000 |
| hgnjolbjpjmhepcbjgeeallnamkjnfgi | AI Letter Generator | 129 |
| lodlcpnbppgipaimgbjgniokjcnpiiad | AI Message Generator | 24 |
| cmpmhhjahlioglkleiofbjodhhiejhei | AI Translator | 194 |
| bilfflcophfehljhpnklmcelkoiffapb | AI For Translation | 91 |
| cicjlpmjmimeoempffghfglndokjihhn | AI Cover Letter Generator | 27 |
| ckneindgfbjnbbiggcmnjeofelhflhaj | AI Image Generator Chat GPT | 249 |
| dbclhjpifdfkofnmjfpheiondafpkoed | Ai Wallpaper Generator | 289 |
| ecikmpoikkcelnakpgaeplcjoickgacj | Ai Picture Generator | 813 |
| kepibgehhljlecgaeihhnmibnmikbnga | DeepSeek Download | 275 |
| ckicoadchmmndbakbokhapncehanaeni | AI Email Writer | 64 |
| fnjinbdmidgjkpmlihcginjipjaoapol | Email Generator AI | 881 |
| gohgeedemmaohocbaccllpkabadoogpl | DeepSeek Chat | 1.000 |
| flnecpdpbhdblkpnegekobahlijbmfok | ChatGPT Picture Generator | 251 |
| acaeafediijmccnjlokgcdiojiljfpbe | ChatGPT Translate | 30.000 |
| kblengdlefjpjkekanpoidgoghdngdgl | AI GPT | 20.000 |
| idhknpoceajhnjokpnbicildeoligdgh | ChatGPT Translation | 1.000 |
| fpmkabpaklbhbhegegapfkenkmpipick | Chat GPT for Gmail | 1.000 |
Bagaimana Cara Kerjanya?
Modus yang digunakan cukup cerdik. Ketika satu ekstensi berhasil dihapus dari Chrome Web Store, pelaku langsung mengunggah versi kloning dengan nama dan ID berbeda. Teknik ini dikenal sebagai extension spraying.
Alih-alih menjalankan fitur AI secara lokal di browser, ekstensi ini memuat iframe layar penuh dari domain yang dikendalikan penyerang, seperti tapnetic[.]pro. Dengan cara ini, pelaku bisa mengubah fungsi ekstensi secara jarak jauh tanpa perlu melakukan pembaruan resmi di Chrome Web Store.
Setelah terpasang, ekstensi dapat:
-
Mengambil konten yang bisa dibaca dari tab aktif, termasuk halaman yang sudah login.
-
Merekam input suara menggunakan Web Speech API.
-
Melacak proses instal dan uninstall melalui telemetry tersembunyi.
Yang lebih serius, terdapat klaster 15 ekstensi khusus Gmail yang menyuntikkan skrip langsung ke mail.google[.]com. Skrip ini memantau perubahan halaman dan berulang kali mengumpulkan konten email yang terlihat—termasuk thread percakapan, draft, hingga balasan—lalu mengirimkannya ke server milik penyerang.
Semua ekstensi yang teridentifikasi diketahui berkomunikasi dengan domain di bawah tapnetic[.]pro dan onlineapp[.]pro. Masing-masing menggunakan subdomain bertema seperti chatgpt.tapnetic[.]pro atau gemini.tapnetic[.]pro, tetapi tetap terhubung ke sistem backend yang sama.
Pada Februari 2025, salah satu ekstensi dengan jumlah instal tinggi berhasil dihapus. Namun hanya dalam hitungan minggu, versi penggantinya muncul dengan arsitektur berbahaya yang identik.
Peneliti dari LayerX Security juga menemukan bahwa kampanye ini memanfaatkan banyak akun Gmail untuk mengelola dan mempublikasikan ekstensi-ekstensi tersebut.
Taktik yang Digunakan
Operasi ini memanfaatkan berbagai teknik serangan, di antaranya:
| Taktik | Kode Teknik | Nama Teknik |
|---|---|---|
| Resource Development | LX2.003 (T1583) | Acquire Infrastructure |
| Initial Access | LX3.004 (T1189) | Drive-by Compromise |
| Initial Access | LX3.003 (T1199) | Trusted Relationship |
| Execution | LX4.003 | Script Execution |
| Defense Evasion | LX7.011 (T1036) | Masquerading |
| Credential Access | LX8.007 (T1557) | Adversary-in-the-Middle |
| Collection | LX10.012 | Web Communication Data Collection |
| Collection | LX10.005 | Collect User’s Information |
| Command and Control | LX11.004 | Establish Network Connection |
| Command and Control | LX11.005 | Web Service-Based C2 |
| Exfiltration | LX12.001 | Data Exfiltration |
Secara sederhana, pelaku memanfaatkan penyamaran merek (brand impersonation), ekstensi browser berbahaya, dan infrastruktur command-and-control berbasis web. Dengan iframe jarak jauh, mereka bisa melewati proses peninjauan awal saat instalasi dan tetap memegang kendali penuh setelah ekstensi terpasang.
Baca Juga : Waspada! Ekstensi Chrome Palsu Berkedok VPN Curi Kredensial Pengguna
Apa yang Harus Dilakukan?
Bagi individu maupun organisasi, langkah pencegahan sangat penting. Beberapa rekomendasi yang bisa diterapkan:
-
Audit seluruh ekstensi Chrome bertema AI di lingkungan kerja.
-
Pantau adanya injeksi iframe mencurigakan dan akses DOM Gmail yang tidak biasa.
-
Awasi lalu lintas jaringan keluar menuju domain
tapnetic[.]prodan domain terkait. -
Prioritaskan pemantauan aktivitas saat runtime, bukan hanya mengandalkan peninjauan statis ekstensi.
Organisasi sebaiknya memperlakukan ekstensi browser bertema AI dengan kehati-hatian ekstra. Terapkan kebijakan manajemen ekstensi yang ketat dan batasi instalasi hanya pada ekstensi yang benar-benar terverifikasi.
Di tengah maraknya adopsi AI, kemudahan memang menggiurkan. Namun tanpa kewaspadaan, “asisten pintar” bisa berubah menjadi celah keamanan yang serius.
