Baru-baru ini, peneliti keamanan siber menemukan lima ekstensi berbahaya di Google Chrome yang meniru platform populer perusahaan seperti Workday, NetSuite, dan SAP SuccessFactors. Ekstensi ini menyamar sebagai alat produktivitas atau keamanan, tetapi tujuannya sebenarnya adalah mencuri akses akun pengguna dan menguasai sesi mereka.
Kelima ekstensi ini, meskipun diterbitkan dengan nama berbeda, menggunakan pola kode dan infrastruktur yang identik, menandakan bahwa ini merupakan operasi terkoordinasi. Beberapa di antaranya, seperti DataByCloud 1 dan DataByCloud 2, sudah ada sejak 2021 dan dipasang oleh ribuan pengguna. Ekstensi lain, seperti Tool Access 11, berfungsi untuk menghalangi akses administrator ke halaman keamanan penting, termasuk pengaturan otentikasi, manajemen proxy, dan kontrol sesi. Dengan cara ini, tim keamanan bisa mendeteksi adanya masalah, tetapi kesulitan untuk menanggulanginya.
Metode serangan yang digunakan cukup canggih. Ekstensi ini mencuri cookie otentikasi yang berisi token login aktif setiap satu menit, mengirimkannya ke server penyerang, dan beberapa bahkan mampu menyuntikkan cookie curian ke browser penyerang untuk mengambil alih sesi secara langsung. Ekstensi paling berbahaya, Software Access, bahkan bisa melakukan pencurian dan penyisipan cookie secara dua arah, memungkinkan penyerang mengakses akun tanpa perlu kata sandi atau kode autentikasi dua faktor.
Meskipun jumlah pengguna yang terdampak relatif kecil, ancamannya signifikan. Dengan akses ke akun-akun perusahaan, penyerang bisa melakukan pencurian data besar-besaran, menyebarkan ransomware, atau mengganggu operasi internal organisasi. Selain itu, ekstensi ini menargetkan administrator sistem, sehingga potensi mitigasi atau perbaikan otomatis menjadi sulit.
Kasus ini menekankan betapa pentingnya berhati-hati saat memasang ekstensi browser, bahkan jika mereka tampak menawarkan kemudahan atau alat tambahan untuk pekerjaan sehari-hari. Setiap akses atau izin yang diminta ekstensi harus diperiksa dengan cermat, dan perusahaan sebaiknya memantau penggunaan ekstensi di perangkat karyawan. Pengguna yang sudah memasang ekstensi ini disarankan segera menghapusnya, mengganti kata sandi, dan memeriksa aktivitas akun yang mencurigakan.
Ancaman semacam ini menunjukkan bahwa serangan siber kini semakin menyasar alat yang tampaknya biasa, seperti browser, dan menekankan perlunya kesadaran digital serta pengelolaan hak akses yang ketat di lingkungan kerja modern.