Chrome Uzantılarında Ortaklık Linki Manipülasyonu ve ChatGPT Token Hırsızlığı Tespit Edildi

Anasayfa » Chrome Uzantılarında Ortaklık Linki Manipülasyonu ve ChatGPT Token Hırsızlığı Tespit Edildi
Siber Tehditler, Tarayıcı Güvenliği, Zararlı Yazılım
Şubat 1, 2026Şubat 1, 2026Tarafından Cybernews.TR
0
Chrome Uzantılarında Ortaklık Linki Manipülasyonu ve ChatGPT Token Hırsızlığı Tespit Edildi

Saldırının Genel Çerçevesi

Güvenlik araştırmacıları, Amazon, AliExpress, Best Buy, Shein, Shopify ve Walmart gibi popüler e-ticaret sitelerini hedef alan 29 Chrome uzantısının, kullanıcıların ortaklık linklerini otomatik olarak değiştirdiğini ve saldırganların kendi ortaklık etiketlerini ekleyerek haksız kazanç sağladığını tespit etti. Bu uzantılar, reklam engelleme gibi masum işlevler sunarken arka planda URL’lerdeki ortaklık kodlarını “10xprofit-20” gibi etiklerle değiştiriyor veya ekliyor. Böylece sosyal medya içerik oluşturucuları ve pazarlamacılar, kullanıcıların bu uzantıları yüklemesi halinde komisyon gelirlerini kaybediyor.

Uzantılar, Amazon ürün sayfalarındaki mevcut ortaklık etiketlerini tespit edip değiştirirken, AliExpress için “_c3pFXV63” gibi farklı etiketler kullanıyor. Ayrıca bazıları, ürün verilerini toplayıp “app.10xprofit[.]io” adresine gönderiyor ve sahte geri sayım sayaçlarıyla kullanıcıları aceleyle alışveriş yapmaya zorluyor. Bu davranışlar, Chrome Web Mağazası politikalarının açık ihlali anlamına geliyor.

ChatGPT Tokenlarını Hedef Alan Uzantılar

Öte yandan, chatgpt[.]com sitesine içerik scripti enjekte ederek ChatGPT kimlik doğrulama tokenlarını çalmaya yönelik 16 farklı uzantı da ortaya çıktı. Bu uzantılar, toplamda yaklaşık 900 kez indirildi ve marka, ikon, açıklama gibi unsurlarda yüksek oranda örtüşme göstererek koordineli bir kampanyanın parçası olarak değerlendiriliyor. Çalınan tokenlar, saldırganlara kullanıcının ChatGPT hesabına tam erişim sağlıyor; sohbet geçmişi, meta veriler ve kodlara ulaşılabiliyor.

Stanley Malware-as-a-Service Aracı ve Tarayıcı Uzantılarının Tehlikesi

Bu gelişmeler, Rusya merkezli bir siber suç forumunda 2.000 ila 6.000 dolar arasında satılan “Stanley” adlı malware-as-a-service aracının ortaya çıkmasıyla paralel ilerliyor. Stanley, kötü amaçlı Chrome uzantıları oluşturmayı kolaylaştırıyor ve oltalama sayfalarını gerçek URL’yi gizleyerek iframe içinde sunuyor. Bu sayede kullanıcılar, sahte sayfalara kimlik bilgilerini girmeye ikna ediliyor. Araç, Chrome Web Mağazası’nın inceleme sürecinden geçme garantisi de veriyor. 27 Ocak 2025 itibarıyla hizmet durdurulmuş görünse de benzer tehditlerin yeniden ortaya çıkma riski bulunuyor.

Saldırı Zinciri ve Teknik Detaylar

  • Başlangıç: Zararsız görünen Chrome uzantıları aracılığıyla yayılma
  • Ortaklık Linki Manipülasyonu: URL parametrelerindeki ortaklık etiketlerinin otomatik değiştirilmesi
  • ChatGPT Token Hırsızlığı: İçerik scripti enjekte edilerek kimlik doğrulama tokenlarının çalınması
  • Veri Sızıntısı: Ürün verilerinin ve kullanıcı bilgilerin saldırgan sunuculara gönderilmesi
  • Oltalama: Stanley aracıyla iframe içinde gerçek URL gizlenerek kimlik bilgisi toplama

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • Tarayıcı uzantılarının izinlerini düzenli olarak gözden geçirin ve gereksiz izinleri kısıtlayın.
  • Ortaklık linklerinde beklenmeyen parametre değişikliklerini loglayarak anormallikleri tespit edin.
  • EDR ve SIEM çözümlerinde tarayıcı uzantılarından gelen trafik ve veri çıkışlarını izleyin.
  • ChatGPT ve benzeri AI hizmetlerine erişim tokenlarının kullanımını IAM politikalarıyla sınırlandırın.
  • Kullanıcıları yalnızca güvenilir kaynaklardan uzantı yüklemeleri konusunda bilinçlendirin.
  • Tarayıcı tabanlı oltalama saldırılarına karşı URL bütünlüğü ve iframe kullanımını denetleyen güvenlik kontrolleri uygulayın.
  • Güncel CVE ve zafiyet bültenlerini takip ederek ilgili yamaları zamanında uygulayın.
  • Olay müdahale süreçlerinde tarayıcı uzantılarının rolünü ve potansiyel tehditlerini dahil edin.

Kurumsal Ortamlarda Olası Senaryo

Bir e-ticaret firmasında çalışan pazarlama ekibi, Amazon ve AliExpress ürün linklerini sosyal medya kampanyalarında kullanıyor. Ancak çalışanların tarayıcılarına yüklenen zararsız görünümlü bir uzantı, ortaklık linklerini otomatik olarak saldırganların etiketleriyle değiştiriyor. Sonuçta, firma ve içerik oluşturucular beklenen komisyon gelirlerini kaybediyor. Aynı zamanda, ChatGPT tabanlı müşteri destek araçlarına erişim sağlayan çalışanların kimlik doğrulama tokenları çalınıyor ve saldırganlar, müşteri verilerine ve sohbet geçmişine erişim sağlıyor. Bu durum, hem finansal kayıplara hem de müşteri güveni zedelenmesine yol açıyor.

, , , , , , ,