Una massiccia operazione di cybercriminalità ha compromesso più di 300 mila utenti attraverso estensioni malevole pubblicate nello store di Google Chrome. I programmi, individuati dai ricercatori di LayerX, si presentavano come strumenti basati su intelligenza artificiale generativa, sfruttando l’enorme popolarità del settore per guadagnare fiducia e aumentare rapidamente il numero di installazioni. In totale sono state identificate oltre 30 estensioni coinvolte nella campagna, tutte apparentemente legittime e perfettamente funzionanti dal punto di vista operativo. Il meccanismo era tanto semplice quanto efficace.
Le estensioni si proponevano come assistenti AI, traduttori automatici o barre laterali intelligenti capaci di riassumere testi e supportare la produttività. Una volta installate, però, oltre a svolgere le funzioni promesse, avviavano in parallelo attività di raccolta dati in background. Testi completi delle pagine visitate, titoli, metadati e informazioni sensibili venivano estratti silenziosamente e trasmessi a server controllati dagli hacker.
Uno degli aspetti più preoccupanti riguarda l’uso della libreria Mozilla Readability, impiegata per catturare contenuti anche da pagine interne o protette da autenticazione. Un sottoinsieme di circa 15 estensioni era addirittura in grado di leggere e copiare email complete da Gmail, comprese bozze e messaggi non ancora inviati. Questo significa che informazioni personali, comunicazioni aziendali e dati riservati potevano essere intercettati senza che l’utente ne avesse consapevolezza.
Per rendere l’operazione ancora più sofisticata, i criminali caricavano l’interfaccia delle estensioni tramite iframe a schermo intero. Questa tecnica permetteva di modificare dinamicamente il comportamento del software senza dover pubblicare aggiornamenti ufficiali nello store, riducendo il rischio di essere individuati durante le verifiche automatiche.
In sostanza, le estensioni potevano evolversi nel tempo mantenendo un’apparenza legittima. Tra i nomi più diffusi figurano AI Sidebar, AI Assistant, ChatGPT Translate, AI GPT e una variante denominata ChatGPT con identificativo tecnico specifico. Il richiamo esplicito a strumenti AI noti ha contribuito a generare un elevato numero di download, sfruttando la fiducia degli utenti verso applicazioni basate su intelligenza artificiale.
L’episodio evidenzia ancora una volta come l’ecosistema delle estensioni browser rappresenti un punto critico per la sicurezza digitale. Anche quando pubblicati nello store ufficiale, i plugin possono nascondere funzionalità dannose difficili da rilevare a prima vista. Gli esperti raccomandano la rimozione immediata delle estensioni sospette, il cambio delle password – in particolare per gli account di posta elettronica – e l’attivazione dell’autenticazione a due fattori dove disponibile. È fondamentale verificare sempre lo sviluppatore, leggere con attenzione le recensioni e controllare le autorizzazioni richieste prima di installare qualsiasi estensione, soprattutto se promette funzionalità avanzate legate all’intelligenza artificiale. La crescita dell’AI sta creando nuove opportunità, ma anche nuovi vettori di attacco. Questo caso dimostra quanto sia sottile il confine tra innovazione e minaccia quando la sicurezza non viene valutata con la massima attenzione.