securite-informatiqueWeb

Chrome et Edge : 18 extensions malveillantes ont infecté 2,3 millions d’utilisateurs

Etes-vous concernés ?

Photo de Jérôme Gianoli Jérôme Gianoli09/07/2025Dernière mise à jour: 10/07/2025
2 minutes de lecture

Selon un rapport publié par les chercheurs en cybersécurité de Koi Security, pas moins de 18 extensions malveillantes ont été discrètement diffusées via le Chrome Web Store et le Microsoft Edge Add-ons Store. Elles ont infecté plus de 2,3 millions d’internautes.

Ce qui rend cette attaque inquiétante, c’est que ces extensions fonctionnaient parfaitement. Elles remplissaient leur promesse d’outils utiles comme par exemple des sélecteurs de couleurs, des extensions météo, ou encore des modules liés à YouTube tout en dissimulant une activité malveillante en arrière-plan.

En clair derrière une apparence anodine, ces modules espions agissaient comme de véritables chevaux de Troie, capables de détourner les navigateurs et de surveiller les utilisateurs à leur insu.

Une campagne coordonnée : « RedDirection »

Derrière cette opération se cache une vaste campagne baptisée RedDirection. L’objectif est d’infiltrer les navigateurs à l’aide d’extensions codées avec soin, pour ensuite contrôler à distance le comportement de navigation des victimes. Chaque extension embarquait son propre sous-domaine de commande et de contrôle (C2), afin de dissimuler une infrastructure d’attaque centralisée.

La pire est que certaines de ces extensions ont obtenu un badge vérifié ou le statut « Extension en vedette » dans les stores officiels de Chrome et Edge. Une stratégie habile qui leur a permis de gagner la confiance des utilisateurs… et des algorithmes de recommandation.

Une menace silencieuse qui restait inactive jusqu’à l’activation

Les chercheurs de Koi Security ont identifié l’une des premières extensions piégées sous le nom Color Picker, Eyedropper – Geco colorpick. Pendant un temps, ces modules restaient inactifs pour échapper à la détection. Puis, à l’occasion d’une mise à jour, le code malveillant était injecté, transformant l’extension en un outil d’espionnage.

Une fois activée, l’extension surveillait silencieusement toutes les URLs ouvertes dans les onglets. À chaque chargement de page, l’information était envoyée vers un serveur distant, avec un identifiant unique. En réponse, le serveur pouvait alors rediriger automatiquement l’utilisateur vers une page web piégée, sans aucune action de sa part c’est à dire sans aucun clic ni hameçonnage nécessaire.

Ce nouveau cas met en lumière les limites des contrôles de sécurité appliqués par les boutiques officielles d’extensions. Même les utilisateurs prudents peuvent être victimes de logiciels malveillants déguisés en outils fiables. Les experts recommandent de limiter au strict minimum les extensions installées, de vérifier régulièrement leur origine et leurs permissions, et de désinstaller toute extension inutilisée.

Voici la liste complète des 18 extensions malveillantes identifiées, ainsi que leurs identifiants.

Chrome:

  • [Emoji keyboard online — copy&past your emoji.] – kgmeffmlnkfnjpgmdndccklfigfhajen
  • [Free Weather Forecast] – dpdibkjjgbaadnnjhkmmnenkmbnhpobj
  • [Video Speed Controller — Video manager] – gaiceihehajjahakcglkhmdbbdclbnlf
  • [Unlock Discord — VPN Proxy to Unblock Discord Anywhere] – mlgbkfnjdmaoldgagamcnommbbnhfnhf
  • [Dark Theme — Dark Reader for Chrome] – eckokfcjbjbgjifpcbdmengnabecdakp
  • [Volume Max — Ultimate Sound Booster] – mgbhdehiapbjamfgekfpebmhmnmcmemg
  • [Unblock TikTok — Seamless Access with One-Click Proxy] – cbajickflblmpjodnjoldpiicfmecmif
  • [Unlock YouTube VPN] – pdbfcnhlobhoahcamoefbfodpmklgmjm
  • [Color Picker, Eyedropper — Geco colorpick] – eokjikchkppnkdipbiggnmlkahcdkikp
  • [Weather] – ihbiedpeaicgipncdnnkikeehnjiddck

Edge:

  • [Unlock TikTok] – jjdajogomggcjifnjgkpghcijgkbcjdi
  • [Volume Booster — Increase your sound] – mmcnmppeeghenglmidpmjkaiamcacmgm
  • [Web Sound Equalizer] – ojdkklpgpacpicaobnhankbalkkgaafp
  • [Header Value] – lodeighbngipjjedfelnboplhgediclp
  • [Flash Player — games emulator] – hkjagicdaogfgdifaklcgajmgefjllmd
  • [Youtube Unblocked] – gflkbgebojohihfnnplhbdakoipdbpdm
  • [SearchGPT — ChatGPT for Search Engine] – kpilmncnoafddjpnbhepaiilgkdcieaf
  • [Unlock Discord] – caibdnkmpnjhjdfnomfhijhmebigcelo
Source
Koi Security
Photo de Jérôme Gianoli Jérôme Gianoli09/07/2025Dernière mise à jour: 10/07/2025
2 minutes de lecture
Photo de Jérôme Gianoli

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Articles similaires

Microsoft Defender

Windows 11, Microsoft estime que Defender suffit mais les antivirus tiers ont des arguments

03/06/2026
Recherche "GinjFo" sur Duckduckgo

Google Search et l’IA ? DuckDuckGo profite du ras-le-bol des utilisateurs

27/05/2026
Windows et la sécurité

Defender passe de la détection à la coupure d’urgence

27/05/2026
Navigateur Chrome de Google

Il faut mettre Chrome à jour, Google corrige deux failles critiques

22/05/2026
Bouton retour en haut de la page