Google Chrome affronta una doppia emergenza di sicurezza nell’aprile 2026: da un lato il rilascio di Chrome 147 Stable con correzioni per vulnerabilità critiche e alte, dall’altro la scoperta di 108 estensioni malevole nel Chrome Web Store capaci di rubare sessioni Telegram Web, token OAuth2 Google, email, nomi account e identificatori persistenti. L’operazione, analizzata dal Socket Threat Research Team, mostra una struttura estremamente coordinata, con estensioni pubblicate sotto identità fittizie come Yana Project, GameGen, SideGames, Rodeo Games e InterAlt, per un totale di circa 20.000 installazioni. Il punto più allarmante è l’infrastruttura condivisa: tutte le estensioni convergono verso il dominio cloudapi.stream, utilizzato come server di comando e controllo per esfiltrazione dati, gestione remota e monetizzazione in stile malware-as-a-service.
Cosa leggere
Le 108 estensioni Chrome condividono lo stesso server C2
L’analisi del codice CRX mostra che tutte le estensioni malevole utilizzano una base comune, con funzioni condivise per raccolta dati, ricezione comandi remoti e apertura di URL arbitrari nel browser della vittima. Il cuore dell’operazione è il dominio cloudapi.stream, con sottodomini specializzati per differenti finalità: mines.cloudapi.stream per il furto di identità Google, tg.cloudapi.stream per la raccolta delle sessioni Telegram e api.cloudapi.stream per attività collaterali come proxy di traduzione e instradamento del traffico. Questa architettura centralizzata collega publisher apparentemente distinti a un unico operatore o gruppo coordinato, confermando una filiera tecnica ben organizzata.
Alcune estensioni rimuovono anche header di sicurezza tramite regole declarativeNetRequest, facilitando l’hijack di sessioni e l’iniezione di contenuti arbitrari. La presenza di funzioni come loadInfo(), che inviano informazioni utente al server e attendono ulteriori istruzioni, trasforma di fatto le estensioni in backdoor browser-based permanenti. In un contesto enterprise, questo significa che il browser stesso può diventare un endpoint compromesso capace di esfiltrare dati sensibili, bypassando molte difese tradizionali pensate per processi esterni.
Le estensioni rubano token OAuth2 e identità Google persistenti
La parte più delicata della campagna riguarda il furto di identità Google. Almeno 54 estensioni abusano del flusso OAuth2 per ottenere un Bearer token valido, interrogare le API Google e raccogliere informazioni sensibili come email, nome account, foto profilo e soprattutto il parametro sub, cioè l’identificatore persistente dell’utente all’interno dell’ecosistema Google. Questo valore è particolarmente pericoloso perché resta stabile nel tempo e può essere utilizzato per correlare attività, tracciare identità e mantenere collegamenti fra servizi diversi anche dopo la revoca di alcuni permessi.
Una volta raccolti, i dati vengono inviati a mines.cloudapi.stream/auth_google, dove possono essere usati per account takeover, profiling, phishing altamente mirato o vendita a terzi. Alcune estensioni si mascherano da strumenti di traduzione o utility per browser, esfiltrando persino il testo inserito dall’utente e proxyando il traffico verso endpoint remoti. Questo amplia il rischio oltre il semplice furto di credenziali, trasformando ogni attività nel browser in una potenziale fonte di intelligence per gli attaccanti.
Telegram Multi-account ruba sessioni ogni 15 secondi
Il vettore più diretto e immediatamente sfruttabile è quello che colpisce Telegram Web. Una delle estensioni più aggressive, identificata come Telegram Multi-account, inietta uno script in fase document_start su web.telegram.org, agendo prima ancora che la pagina sia completamente caricata. Il codice legge il localStorage, serializza la sessione e sottrae il token user_auth, fondamentale per mantenere l’accesso all’account senza nuove credenziali. L’aspetto più grave è la frequenza: il token viene esfiltrato ogni 15 secondi verso tg.cloudapi.stream/save_session.php, consentendo agli attaccanti di mantenere una copia costantemente aggiornata della sessione della vittima. In pratica, anche se l’utente chiude e riapre il browser o cambia scheda, il malware continua a sincronizzare l’accesso remoto. Questo permette lettura di messaggi, accesso ai contatti, visione delle chat archiviate e potenziale uso dell’account per phishing, truffe o propagazione malware verso altre vittime.
Chrome 147 chiude falle critiche che amplificano il rischio
Parallelamente alla scoperta delle estensioni, Google ha rilasciato Chrome 147.0.7727.55 su Linux e 147.0.7727.55/56 su Windows e macOS, insieme agli aggiornamenti equivalenti per Android, iOS e ChromeOS. L’update corregge una lunga serie di vulnerabilità ad alta severità che, se combinate con estensioni malevole già presenti nel browser, potrebbero amplificare ulteriormente la compromissione. Tra i bug più rilevanti figurano heap buffer overflow in WebML, use-after-free in WebRTC e V8, type confusion in V8, oltre a problemi in Skia, Blink, ANGLE, PDFium e WebCodecs. Queste falle possono essere sfruttate per esecuzione di codice, corruzione della memoria o sandbox escape, creando scenari in cui un’estensione malevola non si limita al furto dati ma diventa il punto di partenza per una compromissione più profonda del sistema. Per questo motivo l’aggiornamento a Chrome 147 non è solo raccomandato, ma deve essere considerato prioritario.
Chrome Beta 148 e Dev 149 preparano ulteriori fix su desktop e mobile
Oltre al canale stabile, Google ha aggiornato Chrome Beta 148 e Chrome Dev 149 su desktop, Android, iOS e ChromeOS. Sebbene queste release siano orientate a test e validazione di nuove funzionalità, includono ulteriori miglioramenti di stabilità, fix minori di sicurezza e ottimizzazioni della web platform che anticipano le future patch del canale stabile. Per ambienti aziendali che utilizzano Extended Stable, il passaggio alla build 146.0.7680.188 garantisce supporto prolungato senza perdere le principali correzioni di sicurezza. In scenari enterprise, dove le estensioni browser vengono spesso usate per workflow SaaS, traduzione, ticketing o collaboration, questo tipo di aggiornamento diventa fondamentale per evitare che plugin apparentemente innocui si trasformino in vettori di esfiltrazione.
Come difendersi dalle estensioni malevole del Chrome Web Store
La difesa più immediata consiste nel controllare manualmente tutte le estensioni installate e rimuovere qualsiasi plugin associato ai publisher sospetti Yana Project, GameGen, SideGames, Rodeo Games e InterAlt. È altrettanto importante verificare le autorizzazioni OAuth2 concesse a servizi browser-based e revocare immediatamente quelle non riconosciute o non più necessarie, in particolare se collegate a tool di traduzione, utility Telegram o giochi casual. Per Telegram, è consigliabile chiudere tutte le sessioni attive dall’app mobile e forzare una nuova autenticazione, così da invalidare eventuali token rubati dal browser. In ambito enterprise, gli amministratori dovrebbero applicare policy che limitano installazione di estensioni non approvate, bloccare traffico verso cloudapi.stream e monitorare sottodomini come tg.cloudapi.stream e mines.cloudapi.stream per individuare compromissioni già in corso.
Browser extension e identity theft diventano il nuovo fronte critico
La campagna delle 108 estensioni Chrome conferma che il browser è ormai uno dei principali punti di attacco per il furto di identità digitale. Non si parla più solo di password, ma di sessioni persistenti, token OAuth2, identificatori univoci e accesso continuo a servizi cloud e messaggistica. In questo scenario, anche una semplice estensione di traduzione o un tool Telegram può trasformarsi in una backdoor silenziosa con impatto diretto su privacy, frodi e accesso agli account. La combinazione tra C2 condiviso, publisher falsi, esfiltrazione ad alta frequenza e vulnerabilità browser-side rende questa campagna una delle più pericolose per l’ecosistema Chrome Web Store. Per utenti e aziende, il principio resta chiaro: meno estensioni installate, più controllo sui permessi e aggiornamenti browser immediati.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
