Waspada! Ekstensi Chrome Palsu Berkedok VPN Curi Kredensial Pengguna

bacatutorial /

Waspada! Ekstensi Chrome Palsu Berkedok VPN Curi Kredensial PenggunaDi tengah meningkatnya kesadaran akan privasi dan keamanan internet, penggunaan VPN sudah menjadi hal yang lumrah. Banyak pengguna Chrome memasang ekstensi VPN demi browsing lebih aman, akses lebih cepat, atau sekadar mencoba fitur tambahan. Namun sayangnya, tidak semua ekstensi VPN benar-benar aman.

Baca Juga : 5+ Situs Live Streaming Bola Terbaik di Indonesia!

Baru-baru ini terungkap dua ekstensi Chrome palsu bernama “Phantom Shuttle” yang menyamar sebagai layanan VPN, tetapi diam-diam mencuri kredensial login dan memantau seluruh aktivitas online penggunanya.

Menyamar Sebagai VPN, Menjebak Ribuan Pengguna

Ekstensi berbahaya ini telah aktif sejak tahun 2017 dan berhasil menjangkau lebih dari 2.180 pengguna melalui Chrome Web Store. Yang mengkhawatirkan, hingga saat ini ekstensi tersebut masih bisa beroperasi tanpa terdeteksi oleh sebagian besar pengguna.

Kedua ekstensi tersebut dipublikasikan oleh akun pengembang yang sama dengan alamat email theknewone.com@gmail[.]com. Meski tampilannya berbeda, fungsi internalnya identik dan sama-sama dirancang untuk mencuri data sensitif.

Pengguna yang memasang ekstensi ini tidak menyadari bahwa mereka sebenarnya sedang menjalankan malware. Semua aktivitas browsing dipantau, dan informasi login dikirim secara terus-menerus ke server milik penyerang.

Tampilan Profesional, Fungsi Jahat

Agar terlihat meyakinkan, Phantom Shuttle memposisikan diri sebagai plugin pengujian kecepatan jaringan multi-lokasi, yang diklaim cocok untuk developer dan pekerja perdagangan asal Tiongkok.

Pengguna bahkan diminta membayar biaya berlangganan mulai dari 9,9 hingga 95,9 yuan (sekitar USD 1,40 – 13,50). Pembayaran dilakukan melalui metode resmi seperti Alipay dan WeChat Pay, sehingga makin menambah kesan legitimasi.

Yang membuat jebakan ini semakin rapi, ekstensi tersebut memang memberikan layanan proxy yang berfungsi nyata. Pengguna bisa melihat status koneksi, melakukan uji latensi, dan merasakan layanan seperti VPN sungguhan.

Inilah yang menciptakan rasa aman palsu, sementara di balik layar terjadi aktivitas berbahaya yang sangat merugikan.

Semua Lalu Lintas Disadap Tanpa Disadari

Peneliti dari Socket.dev menemukan bahwa ekstensi ini melakukan intersepsi penuh terhadap lalu lintas web menggunakan mekanisme pembajakan autentikasi yang canggih.

Setiap permintaan autentikasi HTTP di semua situs secara otomatis dicegat. Tanpa sepengetahuan pengguna, ekstensi menyisipkan kredensial proxy yang sudah ditanam di dalam kode, yaitu:

  • Username: topfany

  • Password: 963852wei

Dengan cara ini, seluruh trafik browsing diarahkan ke server proxy milik penyerang, memungkinkan mereka memantau, memodifikasi, bahkan mencuri data secara real-time. Secara teknis, ini merupakan bentuk serangan man-in-the-middle.

Mekanisme Pembajakan Autentikasi yang Licik

Kode berbahaya tersebut disembunyikan dengan rapi di dalam pustaka JavaScript yang sudah dimodifikasi, seperti jquery-1.12.2.min.js dan scripts.js. Agar sulit dianalisis, kredensial proxy tidak ditulis secara langsung, melainkan diacak menggunakan skema encoding berbasis indeks karakter.

Ekstensi ini mendaftarkan listener pada API chrome.webRequest.onAuthRequired, yang memungkinkan mereka mencegat permintaan autentikasi bahkan sebelum browser menampilkan dialog login kepada pengguna.

Saat permintaan tersebut muncul, ekstensi langsung merespons menggunakan mode asyncBlocking, sehingga kredensial palsu dikirim secara otomatis tanpa memberi kesempatan pengguna untuk menyadarinya.

Data Dikirim Rutin ke Server Penyerang

Tak berhenti sampai di situ, ekstensi Phantom Shuttle juga menjalankan mekanisme heartbeat setiap 60 detik ke server command-and-control (C2) di domain phantomshuttle.space.

Dalam setiap proses heartbeat dan pengecekan status VIP, ekstensi mengirimkan alamat email dan password pengguna dalam bentuk teks polos (plaintext) ke infrastruktur penyerang. Untuk pengguna aktif, pengiriman data ini terjadi setiap lima menit sekali.

Artinya, semakin lama ekstensi terpasang, semakin banyak data sensitif yang bocor.

Masih Aktif dan Berbahaya Hingga Akhir 2025

Per Desember 23, 2025, ekstensi ini masih terdeteksi aktif. Tim Socket.dev telah mengajukan permintaan penghapusan resmi kepada tim keamanan Google Chrome Web Store, namun ancaman tetap nyata bagi pengguna yang sudah terlanjur memasangnya.

Langkah yang Harus Segera Dilakukan Pengguna

Jika Anda pernah memasang ekstensi dengan nama Phantom Shuttle atau ekstensi VPN mencurigakan lainnya, langkah berikut wajib dilakukan segera:

  1. Uninstall ekstensi dari Chrome

  2. Ganti semua password yang pernah digunakan di browser

  3. Aktifkan autentikasi dua faktor (2FA) di akun penting

  4. Periksa aktivitas login mencurigakan di email dan akun finansial

Baca Juga : 131 Ekstensi Berbahaya di Chrome Targetkan Pengguna WhatsApp!

Kasus ini menjadi pengingat penting bahwa tidak semua ekstensi di Chrome Web Store aman, meskipun terlihat profesional dan berbayar. Selalu cek reputasi pengembang, ulasan pengguna, dan izin akses sebelum memasang ekstensi apa pun.

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *