Ekosistem ekstensi peramban web (browser extensions) tengah menghadapi krisis kepercayaan berskala besar. Serangkaian laporan intelijen ancaman terbaru mengungkap bagaimana pelaku kejahatan siber mengeksploitasi mekanisme rantai pasok (supply chain) ekstensi Chrome yang sah untuk mendistribusikan malware, meretas percakapan Kecerdasan Buatan (AI), hingga mencuri aset kripto.

Salah satu tren paling meresahkan saat ini adalah Transfer Kepemilikan yang Dimanfaatkan (Weaponized Ownership Transfer). Peretas tidak lagi membuat ekstensi palsu dari nol. Mereka membeli ekstensi populer yang sudah memiliki lencana "Featured" (Unggulan) dari pengembang asli, lalu diam-diam menyuntikkan pembaruan (update) berbahaya kepada puluhan ribu pengguna yang sudah ada.

Baca Juga: Laporan Google Cloud 2026: Hacker Korut "UNC4899" Curi Jutaan Dolar Kripto Berawal dari Celah AirDrop

Studi Kasus 1: QuickLens dan ShotBird (Taktik Akuisisi & ClickFix)

Dua ekstensi produktivitas, QuickLens (7.000 pengguna) dan ShotBird (800 pengguna), awalnya diciptakan oleh pengembang sah ("[email protected]"). Namun, tak lama setelah dirilis dan mendapat lencana Featured, kedua ekstensi ini dijual kepada pihak ketiga melalui platform seperti ExtensionHub.

Segera setelah berpindah tangan, pemilik baru merilis pembaruan beracun:

• Taktik Siluman (In-Memory Payload): Peneliti dari Annex Security menemukan bahwa kode berbahaya sebenarnya tidak ada di dalam file sumber ekstensi. Ekstensi hanya mengambil kode JavaScript dari peladen Command & Control (C2) dan menyembunyikannya di penyimpanan lokal peramban (local storage). Kode ini dieksekusi secara otomatis setiap kali pengguna memuat halaman web baru melalui trik elemen gambar GIF 1x1 piksel yang tersembunyi.
• Infeksi ClickFix: Pada ekstensi ShotBird, script jahat akan menampilkan pop-up peringatan pembaruan Chrome palsu (ClickFix). Jika diklik, pengguna akan diarahkan untuk menjalankan perintah PowerShell berbahaya yang mengunduh malware pencuri data (Infostealer) tingkat host. Malware ini merekam ketikan PIN, data kartu kredit, dan kredensial pemerintah.

Studi Kasus 2: Parasit di Ekosistem AI (LLM)

Ancaman tidak berhenti pada pencurian kata sandi tradisional. Peretas kini mengincar data bernilai tinggi yang tersimpan dalam riwayat percakapan Kecerdasan Buatan (Large Language Models / LLMs) pengguna.

• Penyedot Data Chatbot: Unit 42 dari Palo Alto Networks menemukan bahwa tiga ekstensi populer milik pengembang Urban (Urban VPN Proxy, Urban Browser Guard, Urban Ad Blocker) kedapatan diam-diam menyedot (scraping) percakapan pengguna dari platform ChatGPT, Claude, Copilot, Gemini, Grok, Meta AI, dan Perplexity.
• Trojan Berkedok AI: Sebuah ekstensi bernama Chrome MCP Server - AI Browser Control secara terang-terangan beroperasi sebagai Remote Access Trojan (RAT) berkedok alat otomatisasi AI berbasis Model Context Protocol (MCP).

Studi Kasus 3: Penipuan Kripto dan Pembajakan Peramban (Browser Hijacking)

• Impersonasi Wallet Kripto: Ekstensi lmToken Chromophore menipu pengguna dengan menyamar sebagai alat visualisasi warna heksadesimal. Setelah diinstal, ekstensi ini memaksa peramban membuka situs phishing yang dirancang persis seperti halaman imToken, meminta pengguna memasukkan 12-24 kata seed phrase atau kunci privat kripto mereka.
• Sindikat Afiliasi (Status 77): Kampanye masif yang melibatkan lebih dari 30.000 domain digunakan untuk mendistribusikan ekstensi pembajak peramban (seperti OmniBar AI Chat and Search). Ekstensi ini menggunakan API chrome_settings_overrides untuk secara paksa mengubah beranda pengguna dan mencegat setiap pencarian demi meraup komisi afiliasi secara ilegal.

Eskalasi serangan berbasis ekstensi ini merupakan peringatan keras bagi sektor korporat. "Ini adalah inti dari masalah rantai pasok ekstensi," tegas Annex Security. Sebuah alat yang dulunya aman bisa berubah menjadi spyware hanya dalam satu malam akibat pergantian pemilik, tanpa disadari oleh pengguna.

Berdasarkan pengalaman kami dalam mengaudit postur keamanan titik akhir (Endpoint Security) perusahaan, Fourtrezz sangat merekomendasikan tiga langkah mitigasi proaktif:

1. Daftar Putih Ekstensi Ketat (Strict Extension Whitelisting): Tim IT wajib menggunakan Group Policy Object(GPO) atau Mobile Device Management (MDM) untuk memblokir instalasi semua ekstensi secara default di peramban kerja (Chrome/Edge). Karyawan hanya boleh memasang ekstensi yang telah diaudit dan masuk dalam daftar putih (whitelist).
2. Audit Izin Bawaan (Review Permissions): Ekstensi yang meminta izin "Read and change all your data on the websites you visit" (Membaca dan mengubah semua data Anda di situs web yang dikunjungi) harus diperlakukan sebagai risiko keamanan tingkat tinggi. Izin ini memungkinkan ekstensi untuk membaca token sesi (session tokens) yang dapat melompati perlindungan Autentikasi Dua Faktor (2FA).
3. Waspada Peringatan ClickFix: Edukasi karyawan bahwa peramban modern seperti Chrome dan Edge memperbarui diri secara otomatis di latar belakang. Setiap instruksi yang meminta pengguna untuk menyalin perintah ke Run Dialog (Windows+R) atau PowerShell demi "memperbaiki peramban" adalah 100% penipuan.

Bagi pengguna individu, segera periksa menu Extensions (chrome://extensions/) dan hapus segala ekstensi yang tidak Anda kenali atau yang sudah lama tidak Anda gunakan.