Phantom Shuttle, extensia Chrome listată în Chrome Web Store, a fost identificată ca un instrument de proxy care redirecționează traficul și fură credențiale. Un raport de cercetare publicat în 2024 arată că două versiuni cu același nume au funcționat încă din 2017, vizând în special utilizatori din China, dar cu impact global.

Cum se ascund extensiile în magazinul oficial

Extensia Phantom Shuttle apare ca un plugin legitim pentru testare de viteză și proxy, oferind un abonament de câțiva dolari. Descrierea coerentă și prezența îndelungată în Chrome Web Store creează încredere, reducând analiza critică a permisiunilor.

Văzarea unui ecosistem stabil

Cele două variante sunt publicate sub același dezvoltator, sugerând un „ecosistem” de produse. Utilizatorii confundă această consistență cu siguranța, ignorând permisiunile de „gestionare proxy” și „modificare a datelor pe toate site‑urile”.

Cod malițios ascuns în biblioteci comune

Codul periculos este inserat în fișierele jQuery, făcându‑l greu de observat la o inspecție superficială. Astfel, evaluarea rapidă a extensiei nu relevă funcționalitatea de interceptare.

Ce pot fura și cum funcționează interceptarea traficului

Phantom Shuttle implementează un atac man‑in‑the‑middle prin scriptul PAC, redirecționând cererile prin servere de proxy controlate de atacator. Creditele de proxy sunt codate în extensie, pentru a ascunde destinațiile reale.

Domenii vizate și excluderi

În modul „smarty”, extensia interceptă peste 170 de site‑uri importante: console cloud, platforme de dezvoltare, rețele sociale și servicii de plată. Lista de excluderi păstrează traficul local și serverele de comandă și control intacte, evitând detectarea.

Tipuri de date compromise

Prin interceptare, extensia poate captura:
– nume de utilizator și parole;
– cookie‑uri de sesiune și token‑uri API;
– informații de plată și date personale introduse în formulare.

Aceste informații permit acces neautorizat la conturi și la resurse cloud fără alertă imediată.

Cum verifici dacă ești afectat și ce măsuri iei

  • Deschide pagina extensiilor din Chrome și caută „Phantom Shuttle”.
  • Dezinstalează orice extensie de proxy necunoscută sau neutilizată.
  • Revino la setările de proxy ale sistemului și selectează „fără proxy”.

După dezinstalare, schimbă parolele conturilor critice: email, servicii cloud, rețele sociale. Activează autentificarea cu doi factori și revocă token‑urile API existente. Verifică istoricul de autentificări pentru accesări din locații necunoscute și închide sesiunile active.

Pentru viitor, evaluează extensiile Chrome pe baza:
– permisiunilor solicitate („citire și modificare a datelor”, „gestionare proxy”);
– reputației dezvoltatorului;
– frecvenței actualizărilor și clarității descrierii.

Aceste pași reduc riscul de interceptare și protejează datele sensibile în mediul web.

Phantom Shuttle a demonstrat că prezența în Chrome Web Store nu garantează siguranța extensiilor. Monitorizarea extensiilor instalate și actualizarea constantă a credențialelor rămân esențiale pentru protecția datelor online.