Zurück zu allen Beiträgen
Veröffentlicht am · von Renaud Deraison

Wenn der Store die Bedrohung ist – 108 bösartige Chrome-Erweiterungen, ein C2, 20.000 Installationen

Ein einzelner Betreiber hat 108 bösartige Erweiterungen unter fünf gefälschten Publisher-Identitäten in den Chrome Web Store gepumpt, rund 20.000 Installationen eingesammelt und das Ganze über einen einzigen Command-and-Control-Server geleitet. Das Review-Modell hat es nicht bemerkt. Hier ist, warum ein sicherheitsorientierter Browser eine härtere Haltung einnehmen muss.

Eine Browser-Erweiterung ist ein Programm, das Sie installieren und das jede Seite lesen kann, die Sie besuchen, jedes Token, das Ihr Browser hält, und Dinge in Ihrem Namen tun kann. Der Chrome Web Store verspricht, diese Programme zu prüfen. Im April 2026 veröffentlichte ein einzelner Betreiber 108 davon, erntete rund 20.000 Installationen und leitete alles durch einen einzigen Server. Der Store hat es nicht bemerkt.

Am 14. April veröffentlichte das Anwendungssicherheitsunternehmen Socket eine koordinierte Kampagne mit bösartigen Erweiterungen im Chrome Web Store. Der Forscher Kush Pandya fand 108 Erweiterungen, die unter fünf gefälschten Publisher-Identitäten – Yana Project, GameGen, SideGames, Rodeo Games und InterAlt – veröffentlicht waren, und die alle auf einen gemeinsamen Command-and-Control-Server (C2) unter 144.126.135[.]238 zeigten. Zusammen waren die Erweiterungen rund 20.000 Mal installiert worden. The Hacker News bestätigte die Zahlen noch am selben Tag.

Die Erweiterungen waren weder ein kaputtes URL-Ärgernis noch ein bisschen Werbebetrug, angeflanscht an echte Software. Sie waren ein Werkzeugkasten:

  • 54 Erweiterungen stahlen die Google-Identität des angemeldeten Nutzers, indem sie das OAuth2-Bearer-Token – die kurzlebige Zeichenkette, die Chrome sendet, um Sie gegenüber Google-Diensten auszuweisen – in dem Moment abgriffen, in dem der Tab geladen wurde.
  • 45 Erweiterungen trugen das, was Socket als universelle Hintertür beschreibt: Sie öffneten beim Browserstart beliebige URLs auf Grundlage von Befehlen, die vom C2 abgerufen wurden. Das ist eine Primitive für Klickbetrug, Drive-by-Downloads oder leises Navigieren zu einer Exploit-Seite.
  • Andere injizierten von Angreifern kontrolliertes HTML in echte Websites, strippten HTTP-Sicherheitsheader, damit der injizierte Inhalt tatsächlich ausgeführt werden konnte, entführten Telegram-Web-Sitzungen im 15-Sekunden-Takt, routeten Übersetzungsanfragen über den Angreifer oder umhüllten YouTube- und TikTok-Seiten mit Glücksspiel-Overlays.

Der Code enthielt russische Kommentare in den Authentifizierungs- und Session-Diebstahl-Pfaden. Der Forscher weist darauf hin, dass die Identität des Betreibers unbekannt ist; die Infrastruktur lag auf einem Contabo-VPS mit Subdomains, die nach Funktion aufgeteilt waren (Identitätssammlung, Befehlsausführung, Monetarisierung, Session-Hijacking).

Zum Zeitpunkt, als die Geschichte bekannt wurde, war keine der 108 Erweiterungen aus dem Web Store entfernt worden.

Was eine Erweiterung tatsächlich ist, und warum das nicht nur eine weitere Malware-Geschichte ist.

Die meisten Leute installieren Browser-Erweiterungen so, wie sie Schriften installieren: Sie finden eine, die nützlich wirkt, klicken den blauen Button und vergessen sie wieder. Der Dialog „Berechtigungen", der manchmal auftaucht, ist ein Relikt aus früheren, klareren Tagen. Im aktuellen Erweiterungsmodell von Chrome fragt ein sehr großer Anteil echter Erweiterungen nach etwas, das ungefähr dem Folgenden entspricht, und der Nutzer hat keine sinnvolle Möglichkeit, teilweise nein zu sagen:

Erweiterung„Cursor Tails"1.348 NutzerJeder geöffnete TabSeite lesen + verändernCookies + Speicherfür jede besuchte SiteNetzwerk-RequestsHeader einsehen + umschreibenGoogle-OAuth-TokensIhre angemeldete IdentitätBrowser-StartCode bei jedem Start ausführenEin einziger Klick auf „Installieren" gewährt all das Obige. Der Browser fragt nicht noch einmal nach.
Was eine Browser-Erweiterung in Klartext tun kann, sobald der Nutzer auf „Installieren“ geklickt hat. Das ist kein Bug und kein Missbrauch – es ist das Modell. Erweiterungen sind Programme, die in Ihrem Browser leben, und die Aufgabe des Browsers ist es, sie auszuführen.

Erweiterungen sitzen oberhalb der Same-Origin-Policy, die Tabs voneinander isoliert hält. Genau das ist ihr Sinn: Ein Ad-Blocker würde nicht funktionieren, wenn er die Werbung nicht auf jeder Site lesen könnte, und ein Passwort-Manager würde nicht funktionieren, wenn er nicht jedes Anmeldeformular beobachten könnte. Der Browser unterscheidet zur Laufzeit, völlig zu Recht, nicht zwischen „Ad-Blocker liest die Seite, um ein Banner zu verstecken" und „bösartiger Erweiterung, die die Seite liest, um Ihr Session-Token zu stehlen". Es ist dieselbe Fähigkeit, nur aus verschiedenen Gründen gewährt.

Was die 108 Erweiterungen von Socket also tun, ist keine clevere Umgehung der Chrome-Sicherheit. Es ist das normale, dokumentierte Verhalten der Erweiterungsplattform, nur gerichtet auf den Server eines Betreibers statt auf den Nutzen des Nutzers.

Fünf gefälschte Publisher, ein Server, 20.000 Installationen.

Entscheidend ist die Form der Kampagne. Ein einzelner Akteur, eine Handvoll Sockenpuppen-Publisher-Konten, ein Katalog, der oberflächlich vielfältig wirken soll – Slot- und Keno-Spiele, YouTube- und TikTok-„Enhancer", Telegram-Seitenleisten-Utilities, Übersetzungstools, Cursor-Dekorationen – die alle auf dieselbe IP zurückführen. Einzeln betrachtet sieht jede dieser Erweiterungen nach minderwertigem Junkware aus. Zusammen sind sie eine industrialisierte Ernte.

FÜNF GEFÄLSCHTE PUBLISHERYana ProjectGameGenSideGamesRodeo GamesInterAlt108 ERWEITERUNGEN · 20.000 INSTALLATIONEN54 greifen Google-OAuth ab · 45 öffnen beliebige URLs beim Start78 injizieren Angreifer-HTML · Telegram-Session-Diebstahl alle 15 sC2144.126.135.238Socket hat das Muster erkannt. Der Web Store nicht.
108 Erweiterungen, fünf Publisher-Namen, ein einziger Command-and-Control-Server. Das Review-System hat jedes Konto und jede Erweiterung einzeln genehmigt. Im aktuellen Prozess gibt es keine Ebene, die das Muster betrachtet.

Fünf Publisher sind nicht die äußere Grenze des Musters; sie sind seine Oberfläche. Parallel zur Socket-Veröffentlichung hat die Firma LayerX Security eine Ausweitung der Kampagne, die sie GhostPoster nennt, veröffentlicht, und verwandte bösartige Erweiterungen über Chrome, Firefox und Edge nachverfolgt, mit kumulierten Downloads im Hunderttausenderbereich und Ursprüngen bis ins Jahr 2020. Die Lehre daraus ist nicht, dass eine bestimmte Bande erwischt wurde. Die Lehre ist, dass das Erweiterungs-Store-Modell – Nutzer vertraut Store, Store prüft bei Einreichung, Store vertraut danach weitgehend der Publisher-Identität – seit Jahren leise und in großem Stil scheitert.

Bromures Antwort: Erweiterungen gar nicht erst zulassen.

Bromure ist ein sicherheitsorientierter Browser. Jeder Tab läuft in einer wegwerfbaren Linux-VM (Virtual Machine – ihr eigener separater Computer, der gelöscht wird, sobald das Fenster geschlossen wird) auf Ihrem Mac. In dieser VM installieren wir Chromium mit einer abgespeckten Richtlinie. Zwei Zeilen dieser Richtlinie sind für diese Geschichte wichtig:

  • chrome://extensions ist blockiert.
  • chromewebstore.google.com ist blockiert.

Es gibt keinen „Nutzer warnen und weitermachen lassen"-Ablauf, keine „erweiterten Einstellungen, um es trotzdem zuzulassen", keine Entwicklermodus-Ausnahme, durch die eine Phishing-Seite Sie lotsen könnte. Der Nutzer kann den Web Store aus einer Bromure-Sitzung heraus nicht erreichen, und selbst wenn er die .crx-Datei bereits auf der Platte hätte, ist die Erweiterungsseite nicht erreichbar, um sie zu laden. Die Angriffsfläche, auf die sich die GhostPoster-Kampagne verlässt, existiert hier nicht.

Herkömmlicher Browserchromewebstore.google.comFormula Rushvon Rodeo GamesInstallierenTeleside Webvon GameGenInstallierenKeno Plusvon SideGamesInstallierenCursor Tailsvon Yana ProjectInstallierenEin Klick pro Erweiterung.Danach voller Lese-/Schreibzugriff auf jeden Tab.Updates laufen still nach Zeitplan.Bromurechromewebstore.google.comBLOCKIERTBROWSER-RICHTLINIE"URLBlocklist": ["chrome://extensions","chromewebstore.google.com","chrome.google.com/webstore"]Keine Installationsseite.Kein Store.
Derselbe Store, dieselben 108 Erweiterungen, dieselben 20.000 Nutzer, die sie installiert hätten. In einem herkömmlichen Browser ist „Installieren“ ein blauer Button. In Bromure gibt es keinen Store, der geöffnet werden könnte.

Das ist, um es klar zu sagen, eine bewusste Designentscheidung und kein Versäumnis. Bromures Position ist, dass jeder Browser, der nutzerinstallierbare Erweiterungen erlaubt, strukturell anfällig für Kampagnen wie diese ist. Nicht „anfällig, wenn der Store nachlässig wird". Strukturell anfällig. Das Store-Review ist das einzige, was zwischen dem Nutzer und einem Programm mit seitenweitem Zugriff steht, und „das Store-Review" ist nun öffentlich in industriellem Maßstab gescheitert, in einer benannten Kampagne, mit benannter Betreiber-Infrastruktur, mit 20.000 Installationen. Den Nutzer zu bitten, ein besseres Urteil zu fällen als Googles Reviewer-Team, ist kein Sicherheitsmodell.

Die harte Variante dieser Haltung – die Bromure-Variante – ist, die Fähigkeit zu entfernen. Keine nutzerinstallierbaren Erweiterungen. Keine erweiterte Option. Keine „ungelisteten Erweiterungen, aus einer .crx geladen, für Power-User". Ein Angreifer kann keine Fähigkeit ausnutzen, die der Browser gar nicht anbietet.

Was das kostet, und warum der Tradeoff ehrlich ist.

Um ehrlich zu sein: Das ist ein echter Tradeoff, und er sollte klar benannt werden.

Kein uBlock Origin

Bromure liefert eine eigene Content-Filterschicht auf VM- und Netzwerkebene mit, aber wenn Sie speziell uBlock Origin genutzt haben, werden Sie es hier nicht haben. Sie können unseren separaten Beitrag darüber lesen, wie Bromure mit Werbung umgeht; kurz gesagt, das Werbeblocken wandert aus dem Browser hinaus in die Infrastruktur darunter.

Kein 1Password, kein Bitwarden, keine LastPass-Erweiterung

Die Browser-Erweiterung Ihres Passwort-Managers installiert sich in Bromure nicht. Passwort-Manager funktionieren als native Apps auf Ihrem Mac bestens, und die meisten können problemlos von außen in den Browser kopieren, einfügen oder auto-eintippen. Das ist eine Workflow-Änderung, kein Verlust des Werkzeugs.

Kein Grammarly, keine React DevTools, keine Web3-Wallet

Die Kategorie „Erweiterungen, die Ihrem Browsen eine Funktion hinzufügen", und die Kategorie „Erweiterungen, die die Schlüssel zu Ihrem digitalen Leben halten" fallen beide weg. Für die meisten Nutzer ist die erste Kategorie ein kleiner Verlust. Für Entwickler oder Krypto-Nutzer ist er größer. Wenn dieser Verlust ein K.-o.-Kriterium ist, dann ist Bromure nicht Ihr primärer Browser – und das ist eine faire Antwort.

Was Sie dafür bekommen

108 bösartige Erweiterungen können nicht auf Ihrem Mac landen, weil es keinen Kanal gibt, sie zu installieren. Fünf gefälschte Publisher können keinen Review-Prozess täuschen, den es nicht gibt, weil Sie gar nicht erst eingeladen sind, Reviewern zu vertrauen. Die Angriffsfläche in dieser Geschichte – die zentrale – ist geschlossen.

Eine Nuance ist es wert, offen ausgesprochen zu werden. Bromure lädt innerhalb der VM durchaus eine kleine Zahl eigener Erweiterungen – eine Credential-Brücke, um mit dem Passwort-Manager Ihres Macs zu sprechen, einen WebRTC-Blocker für die IP-Leak-Fälle, über die wir zuvor geschrieben haben, und ein paar andere Instrumentierungs-Helfer. Sie sind Teil der Architektur des Browsers selbst, ins Festplatten- Image eingebrannt, und nichts, was eine laufende Sitzung ergänzen oder ersetzen kann. Sie sind kein Schlupfloch, über das Nutzererweiterungen installiert werden könnten; sie sind der Browser, der der Browser ist. Sie „Erweiterungen" zu nennen, ist ehrliche Benennung des Mechanismus, kein geheimer Store.

Kaputt ist das Review-Modell.

Es ist verlockend, die 108-Erweiterungen-Geschichte als eine Geschichte speziell über Google zu lesen. Sie ist es nicht. Laut der weiteren Nachverfolgung von LayerX beherbergen auch Mozillas Add-on-Store und Microsofts Edge-Store seit Jahren verwandte Kampagnen – teils zuerst auf Edge, und erst später auf Chrome ausgedehnt. Der gemeinsame Nenner ist kein bestimmtes Reviewer-Team. Es ist das Modell: einreichen, genehmigt werden, veröffentlichen und dann automatische Updates an installierte Nutzer ausliefern, mit minimaler laufender Aufsicht. Jedes Programm, das unter diesem Modell auf Millionen von Maschinen läuft, wird früher oder später Leute anziehen, die bereit sind, die Lücke zu industrialisieren.

Deshalb ist das hier ein kleinerer Browser. Genau das ist der Sinn. Ein sicherheitsorientierter Browser, der weiterhin jeder Erweiterung im Web Store Ja sagt, ist kein sicherheitsorientierter Browser; er ist ein gewöhnlicher Browser mit einem anderen Logo. Wenn der Store die Bedrohung ist, dann lautet die einzige ehrliche Antwort: keine Erweiterungen aus dem Store nehmen. Ihr Mac wird am Ende, nach unserer Einschätzung, sicherer dastehen.

Wenn Sie wollen, was Bromure macht, dann installieren Sie es und probieren Sie es als Standard für die riskante Hälfte Ihres Browsens aus – die angeklickten Links aus Gruppenchats, die Suchergebnisse, bei denen Sie sich nicht ganz sicher sind, die Arbeits-E-Mail-Anhänge, die scheinbar immer „eine Seite" öffnen. Falls der GhostPoster-Betreiber noch draußen ist und die nächsten 108 Erweiterungen morgen kommen – eine Bromure-Sitzung wird es nicht erfahren.