Jeux de casino en ligne, outils pour Telegram, extensions censées améliorer la qualité des vidéos sur YouTube ou TikTok : toutes ces applications disponibles sur le Chrome Web Store appartenaient en réalité au même immense écosystème malveillant.
C’est la principale conclusion de l’analyse publiée le 13 avril 2026 par la société de sécurité Socket.
Une campagne coordonnée qui aurait regroupé en tout 108 extensions compromises, et où l’ensemble des modules étaient reliés à une infrastructure de commande et de contrôle unique, hébergée sous un même domaine et reposant sur un seul serveur centralisé.
Un écosystème malveillant piloté depuis une seule adresse IP
Derrière ces pièges disséminés dans la marketplace du navigateur le plus utilisé au monde, on retrouve pourtant cinq éditeurs distincts : Yana Project, GameGen, SideGames, Rodeo Games et InterAlt.
Selon Socket, tous seraient en réalité pilotés par un opérateur unique, qu’il s’agisse d’un groupe organisé ou d’un pirate isolé — l’étude ne le précise pas.
La preuve la plus tangible avancée par les chercheurs réside dans le fait que 54 extensions dédiées au vol d’identifiants Google partagent leurs jetons OAuth2 entre deux seuls projets Google Cloud, dessinant ainsi la trace d’un propriétaire commun.
Enfin, plusieurs adresses e‑mail enregistrées contiennent des variantes du même nom, « nadejdin », associé à une adresse située à Kiev, tandis que les commentaires dans le code source sont rédigés en russe.
Vol de session Telegram, identités Google, backdoor universelle
Plusieurs autres capacités malveillantes ont été observées parmi les extensions impliquées dans cette campagne. L’une des plus agressives, « Telegram Multi-Account », injecte par exemple un script dès l’ouverture du navigateur, puis exfiltre la session active toutes les quinze secondes vers les serveurs de l’opérateur. Une action qui permet une prise de contrôle complète du compte, sans mot de passe ni double authentification.
En parallèle, près d’une quarantaine d’autres extensions embarquent une backdoor universelle : à chaque démarrage du navigateur, elles interrogent discrètement le serveur C2 et ouvrent l’URL renvoyée dans un nouvel onglet, sans aucune interaction de l’utilisateur.
L’analyse de Socket révèle que l’infrastructure de l’opération inclut un portail de paiement, ce qui laisse penser à un modèle de type Malware‑as‑a‑Service, où les données volées sont revendues à des tiers presque immédiatement.
Difficile d’évaluer le nombre exact de victimes de cette campagne cybercriminelle, les 108 extensions recensées totalisent environ 20 000 installations sur le Chrome Web Store. Socket précise que des demandes de retrait ont été soumises à Google, mais au moment de la publication de cet article, le 14 avril 2026 en début d’après‑midi, les extensions restaient accessibles.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !