Được gọi chung là “Phantom Shuttle”, cả hai tiện ích này tồn tại trên Chrome Web Store từ năm 2017, hoạt động như một dịch vụ proxy trả phí theo tháng, hứa hẹn giúp người dùng chuyển hướng lưu lượng web hoặc kiểm tra kết nối từ các vị trí khác nhau - đặc biệt nhắm tới những người cần kiểm tra mạng tại Trung Quốc. Tuy nhiên, nghiên cứu của Socket, một nền tảng chuyên về an ninh mạng, cho thấy phía sau giao diện “hữu ích” là một chức năng ẩn nguy hiểm mà người dùng không thể thấy trước khi cài đặt.

Điểm đáng báo động là các tiện ích này điều hướng toàn bộ lưu lượng web của người dùng thông qua một mạng proxy do kẻ tấn công kiểm soát, sử dụng tên và mật khẩu proxy được mã hóa cứng trong mã nguồn. Phần mở rộng sau khi được cài đặt sẽ lắng nghe và chặn mọi giao tiếp HTTP, cho phép kẻ tấn công thu thập thông tin đăng nhập, mật khẩu, chi tiết thẻ thanh toán, cookie phiên làm việc và cả các token API từ các dịch vụ trực tuyến. Trong chế độ “smarty”, hơn 170 tên miền có giá trị cao - bao gồm bảng điều khiển dịch vụ đám mây, nền tảng phát triển và mạng xã hội - bị buộc phải đi qua mạng proxy này, khiến người dùng dễ mất dữ liệu mà không hay biết.

Các kỹ thuật mà “Phantom Shuttle” sử dụng để ẩn chức năng độc hại cho thấy mức độ tinh vi của mối nguy hiểm: mã chạy ngay trong thư viện jQuery - một thư viện JavaScript phổ biến - khiến việc phân biệt giữa tiện ích “bình thường” và độc hại càng trở nên khó khăn.

Vấn đề này phản ánh một thực trạng lớn hơn trong hệ sinh thái tiện ích mở rộng trình duyệt: ngay cả những extension được phê duyệt trên cửa hàng chính thức cũng có thể bypass kiểm duyệt và tồn tại nhiều năm mà không bị phát hiện. Trước đó vào tháng 1/2025, Google đã gỡ bỏ 16 tiện ích Chrome độc hại đã bị tải về hơn 3,2 triệu lần, và một chiến dịch khác đã lây nhiễm cho hơn 4,3 triệu người dùng Chrome và Edge trong nhiều năm qua.

Hiện tại Google đã nhận được thông tin về các tiện ích “Phantom Shuttle” này, nhưng chưa có phản hồi chính thức nào về việc gỡ bỏ khỏi cửa hàng. Các chuyên gia an ninh khuyến nghị người dùng chỉ cài đặt extension từ các nhà phát triển uy tín, kiểm tra kỹ đánh giá và quyền truy cập mà tiện ích yêu cầu, đồng thời cân nhắc kỹ trước khi chấp nhận cấp quyền quá rộng cho bất kỳ phần mềm nào.

Với việc trình duyệt web ngày càng trở thành “trung tâm” của các hoạt động trực tuyến - từ email, tài chính tới công việc - mối nguy hiểm từ tiện ích mở rộng độc hại không chỉ đơn thuần là thu thập dữ liệu, mà còn có thể dẫn tới xâm phạm tài khoản, đánh cắp danh tính và thậm chí chiếm quyền điều khiển phiên làm việc quan trọng nếu không được phát hiện kịp thời.

An Lâm (tổng hợp)