900.000 Kullanıcının ChatGPT ve DeepSeek Verilerini Çalan İki Kötü Amaçlı Chrome Uzantısı

Anasayfa » 900.000 Kullanıcının ChatGPT ve DeepSeek Verilerini Çalan İki Kötü Amaçlı Chrome Uzantısı
Siber Tehditler, Veri Güvenliği, Zararlı Yazılım
Ocak 8, 2026Ocak 8, 2026Tarafından Cybernews.TR
0
900.000 Kullanıcının ChatGPT ve DeepSeek Verilerini Çalan İki Kötü Amaçlı Chrome Uzantısı

Chrome Web Mağazası’nda tespit edilen iki zararlı uzantı, OpenAI ChatGPT ve DeepSeek sohbetlerini hedef alarak kullanıcıların hassas verilerini saldırganların kontrolündeki sunuculara aktarıyor. “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” ve “AI Sidebar with Deepseek, ChatGPT, Claude, and more.” isimli bu uzantılar toplamda yaklaşık 900.000 kullanıcıya ulaşmış durumda.

Saldırı Zinciri ve Teknik Detaylar

Uzantılar, kullanıcıdan “anonim, tanımlanamayan analiz verileri” toplama izni talep ediyor. Onay verilmesi halinde, kötü amaçlı kod her 30 dakikada bir açık sekmelerdeki sohbet mesajlarını ve URL bilgilerini DOM kazıma yöntemiyle çıkarıyor. Bu veriler, “chatsaigpt[.]com” ve “deepaichats[.]com” gibi C2 sunucularına yerel depolama aracılığıyla gönderiliyor. Ayrıca, tehdit aktörleri Lovable adlı yapay zeka destekli web geliştirme platformunu kullanarak altyapılarını gizlemeye çalışıyor.

Bu saldırı yöntemi, Secure Annex tarafından “Prompt Poaching” (İstek Avcılığı) olarak adlandırılıyor. Urban VPN Proxy adlı başka bir kötü amaçlı uzantının benzer şekilde kullanıcı sohbetlerini gözetlediği daha önce raporlanmıştı.

Meşru Uzantılar ve Benzer Riskler

Benzer yöntemler, Similarweb ve Stayfocusd gibi popüler meşru uzantılar tarafından da uygulanıyor. Similarweb, 1 milyon kullanıcıya sahip uzantısında Mayıs 2025’te sohbet izleme özelliği ekledi ve 2026 güncellemeleriyle kullanıcı verilerinin toplandığını açıkça belirtti. Bu kapsamda, yapay zeka araçlarına girilen istemler, içerikler ve yüklenen dosyalar gibi geniş veri setleri toplanıyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • Tarayıcı uzantılarının izinlerini düzenli olarak gözden geçirin ve gereksiz izinleri kaldırın.
  • EDR çözümlerinde anormal ağ trafiği ve C2 iletişimlerini izleyin.
  • Tarayıcı eklentilerinin dinamik kod yüklemesini engelleyen politikalar uygulayın.
  • Olay müdahale süreçlerinde tarayıcı kaynaklı veri sızıntılarını değerlendirin.
  • Çalışanlara e-posta güvenliği ve sosyal mühendislik saldırılarına karşı eğitim verin.
  • Ağ segmentasyonu ile kritik sistemlerin tarayıcı kaynaklı tehditlerden izole edilmesini sağlayın.
  • Gizlilik politikalarını ve uzantı güncellemelerini düzenli takip edin.
  • Zero Trust prensipleri doğrultusunda erişim kontrollerini sıkılaştırın.

Kurumsal Senaryo: Finans Sektöründe Riskler

Bir finans kurumunda çalışanlar, ChatGPT destekli bir uzantı kullanıyor. Zararlı uzantı, kullanıcıların müşteri bilgileri ve finansal verilerle yapılan sohbetleri toplayarak saldırganlara aktarıyor. Bu durum, kimlik hırsızlığı, hedefli oltalama ve kurumsal casusluk gibi ciddi güvenlik ihlallerine yol açabilir. Kurumun SIEM sistemleri, anormal veri çıkışlarını tespit etmeli ve IAM politikalarıyla erişim sınırlandırılmalıdır.

Alınabilecek Önlemler

Kullanıcıların bilinmeyen ve doğrulanmamış kaynaklardan uzantı yüklememesi kritik önem taşıyor. Ayrıca, Chrome ve Edge mağazalarında “Öne Çıkan” etiketi taşısa bile uzantıların güvenilirliği sorgulanmalı. Kurumsal ortamda, tarayıcı uzantılarının merkezi yönetimi ve izin politikaları uygulanmalı. EDR ve SIEM sistemleri, C2 iletişimlerini ve DOM kazıma aktivitelerini izleyerek erken uyarı sağlamalıdır.

, , , , , , ,