108 Chrome Extension đang âm thầm đánh cắp tài khoản của bạn – Bạn có nằm trong danh sách nạn nhân?

Tóm tắt chiến dịch

Làm thế nào 108 Chrome extension độc lập — từ ứng dụng dịch văn bản đến các minigame tưởng chừng vô hại — có thể lách qua lớp kiểm duyệt bảo mật và âm thầm thao túng hơn 20.000 trình duyệt? Phân tích chuyên sâu cho thấy tất cả các tiện ích này đều là vỏ bọc, được giật dây bởi duy nhất một mạng lưới máy chủ C2 đứng sau theo mô hình Malware-as-a-Service (MaaS).

Chiến dịch tinh vi này không phá hoại thiết bị để tránh bị phát hiện; thay vào đó, chúng lặng lẽ hoạt động như một trinh sát nằm vùng: cướp đoạt định danh Google OAuth vĩnh viễn, "rút ruột" phiên đăng nhập Telegram Web định kỳ mỗi 15 giây và chèn backdoor trực tiếp vào giao diện nạn nhân. Câu hỏi đáng suy ngẫm cho mọi tổ chức là: liệu các công cụ dịch thuật hay sidebar mà nhân viên đang sử dụng hàng ngày có đang nộp thẳng dữ liệu nội bộ về máy chủ lạ? Hành động cấp thiết ngay lúc này là rà soát logs cài đặt extension và phong tỏa lập tức dải IP điều khiển để chặn đứng chuỗi rò rỉ tín nhiệm.

Sự phát hiện và Phạm vi ảnh hưởng

Theo như phân tích ban đầu, có chính xác 108 tiện ích mở rộng chứa mã độc đang hoặc đã được phát tán thông qua Chrome Web Store. Dù được ngụy trang cẩn thận và phát hành dưới danh nghĩa 5 nhà xuất bản (publisher) độc lập bao gồm Yana Project, GameGen, SideGames, Rodeo Games và InterAlt, toàn bộ số tiện ích này lại trỏ chung về một hệ thống máy chủ vận hành đằng sau.

Danh mục tiện ích bị lợi dụng khá đa dạng, nhắm tới mọi tệp người tiêu dùng: công cụ chat Telegram dạng sidebar, phần mềm đánh bạc (slot machine), module tối ưu độ nét YouTube/TikTok, tiện ích dịch đa ngôn ngữ và các tiện ích hiển thị web truyền thống. Những phần mềm mã độc này mang đầy đủ giao diện hoạt động như các quảng cáo mô tả để qua mặt người dùng, trong khi đó, những module tội

Quá trình khai thác

Initial Access (T1189 - Drive-by Compromise)

Kẻ tấn công lừa nạn nhân cài đặt các tiện ích có vỏ bọc hợp lệ từ chính kho ứng dụng Chrome Web Store chính thức để thiết lập foothold (bàn đạp) cho các cuộc tấn công bên trong.

Execution (T1059 - Command and Scripting Interpreter)

Ngay khi trình duyệt khởi động, các scripts ẩn (ví dụ: loadInfo()) và background runtime sẽ được gọi để tự động thực thi các chu kỳ thu thập dữ liệu bằng cấp quyền cài đặt nền.

Credential Access (T1539 - Steal Web Session Cookie / T1552 - Unsecured Credentials)

Tài khoản Google: Extentsion gửi webhook gọi API OAuth2 của Google xin dữ liệu profile vĩnh viễn (subject ID, email, name).

Tài khoản Telegram: Malware chủ động truy vấn biến phân vùng localStorage, lấy ra key chứa tham số user_auth của Telegram Web một cách định kỳ.

Collection (T1114 - Email Collection/Info Theft)

Các công cụ dịch văn bản lấy đi mọi chuỗi truy vấn ngôn ngữ của nạn nhân do có quyền đọc khung text input, gắn vào tham số X-Key và thu trộm. Mọi bản nháp, mọi tin nhắn bí mật nếu phải copy để chuyển ngữ đều bị ghi nhận.

Command and Control (T1071.001 - Web Protocols)

Tất cả dữ liệu chuyển lậu qua giao thức TLS thẳng tới các subdomain của cloudapi[.]stream. Kẻ tấn công duy trì C2 mạnh đến mức có thể gửi tham số HTML tùy chỉnh xuống, chèn backdoor bắt trình duyệt tải mã URL từ xa mà người dùng không thể can thiệp.

Phân tích Kỹ thuật Chi tiết

Cướp phiên đăng nhập Telegram theo chu kỳ

Ở nhóm các extension giả mạo công cụ tích hợp Telegram (như Telegram Multi-account), malware tiến hành inject file content.js mục tiêu vào tên miền https://web.telegram.org/*. Hàm getSessionDataJson() sẽ quét và "vắt kiệt" phân vùng localStorage, trích xuất chuỗi xác thực phiên bản web và chuyển trực tiếp qua chrome.runtime.sendMessage().

Mức độ thao túng của C2 còn đạt điểm khó lường với lệnh webhook set_session_changed. Sau khi bắt được request, máy chủ sẽ xóa toàn bộ localStorage hiện tại rồi chèn thẳng token lạ vào. Thủ thuật này nhằm tống nạn nhân ra khỏi account thực tế của họ và dùng chính trình duyệt của nạn nhân để đăng nhập bằng một profile độc hại khác.

Khai thác định danh Google OAuth2

Thay vì nỗ lực phishing mật khẩu mang lại rủi ro bị chặn cao, 54 extensions trong chiến dịch này tiếp cận Google identity ở tầng cơ sở hạ tầng. Bọn chúng sử dụng hàm chrome.identity.getAuthToken để xin cấp token từ người dùng. Sau khi thành công, dữ liệu mà extension gửi về máy chủ C2 là định danh vĩnh viễn sub, kèm email và tên gọi thật. Thu thập chỉ số sub giúp CRM của tội phạm xác định chéo và không bao giờ đánh mất trace của người dùng dẫu cho nạn nhân có thay đổi email sau này.

100% Client IDs (khoảng 56 IDs) được cấu hình cho việc này chỉ thuộc về vỏn vẹn 2 Google Cloud projects: 1096126762051 và 170835003632. Fact này tự nó đã phủ nhận bức rèm che đậy từ 5 cái tên nhà xuất bản tách biệt.

Universal Backdoor loadInfo()

Một cửa sinh tử cho an ninh nội mạng nằm ngay ở tính năng backdoor loadInfo() rải trên ít nhất 45 files cấu hình background gốc. Lúc Chrome chuẩn bị khởi chạy, malware sẽ nối đến địa chỉ C2. Nếu response trả về tham số JSON infoURL, C2 buộc tiện ích bí mật tạo tab và điều hướng URL tức thì. Phân tích source cho thấy loadInfo() thường sử dụng thủ pháp async/await viết gọn trên format mã code minify, dấu hiệu của việc chèn mã ngoài thay vì từ nguồn code gốc chuyên nghiệp.

Xé Rào Cấu Hình Security Header

Thay vì tấn công webRequest, 5 extension đã lạm dụng API declarativeNetRequest (một tính năng của Manifest V3 vốn được mệnh danh khắt khe hơn) để "stripping" bảo vệ:

• Dỡ bỏ các chỉ thị Content-Security-Policy & X-Frame-Options của website mục tiêu (TikTok, YouTube).

• Ép tham số Access-Control-Allow-Origin: *.

• Làm giả User-Agent.

Khi mọi barriere đã bung gãy, mã độc ứng dụng DOM-injection bằng biến innerHTML chắp vá thiếu an toàn. Kết quả là việc tự động bơm những mã HTML rác, quảng cáo máy đánh bạc vào trực tiếp giao diện hoạt động YouTube và TikTok của nạn nhân.

Hạ tầng máy chủ điều khiển (C2)

Bản phác họa backend của mạng lưới 108 malware phơi bày hoàn chỉnh hạ tầng C2 nằm tại Contabo GmbH VPS, IP 144.126.135.238. Kiến trúc máy chủ dùng Strapi CMS với data core PostgreSQL, quy hoạch theo từng subdomain tác nghiệp chuẩn một hệ sinh thái Malware-as-a-Service:

• tg[.]cloudapi[.]stream: Module exfiltration (Endpoint lưu vết với /save_session.php).

• mines[.]cloudapi[.]stream: Endpoint phục vụ định danh Google, cung cấp payload /user_info cho tab-open backdoor.

• topup[.]cloudapi[.]stream: Trạm phát hành portal thanh toán trả phí.

Tác động chính của chiến dịch

Thay vì tiến hành mã hóa tống tiền hay phá hủy hệ thống, chiến dịch rải thảm 108 extension này tập trung vào thu thập thông tin tình báo và khai thác lòng tin dài hạn. Chuỗi tác động trực tiếp bao gồm:

• Rò rỉ dữ liệu doanh nghiệp thầm lặng (DLP Bypass): Các công cụ dịch thuật và xử lý văn bản đang tiếp tay gửi toàn bộ nội dung mà nhân viên thao tác về C2. Điều này dẫn đến nguy cơ lộ lọt source code, hợp đồng mật, và các bí mật kinh doanh mà các giải pháp DLP rà quét mạng lưới rất khó phát hiện do gói tin được mã hóa qua lớp TLS chuẩn của Chrome.

• Chiếm đoạt tài khoản diện rộng (Account Takeover - ATO): Qua việc trộm token OAuth trực tiếp và đánh cắp dữ liệu localStorage của Telegram Web, kẻ tấn công duy trì một cánh cửa hậu để truy cập các tài nguyên nội bộ, bỏ qua hoàn toàn các bước xác thực 2 yếu tố (2FA/MFA). Nhờ vậy, chúng biến các tài khoản danh tính thực thành mồi nhử cho các chiến dịch phishing nội bộ tiếp theo.

• Lạm dụng và tấn công chuỗi cung ứng cục bộ: Với backdoor loadInfo(), trình duyệt của hàng chục nghìn nhân sự có thể bị C2 ra lệnh mở tab chạy script để DDoS mục tiêu khác, tải payload độc hại cấp độ OS, hoặc đơn giản là thao túng nội dung hiển thị (DOM-injection) để chèn các quảng cáo tài chính, lừa đảo trực tiếp lên màn hình làm việc của họ.

• Vi phạm tính tuân thủ nghiêm trọng: Bức tranh toàn cảnh phơi bày điểm yếu lớn trong quản lý thiết bị đầu cuối của tổ chức (BYOD hoặc thiếu chính sách Allowlist Extension). Nó đe dọa các tiêu chuẩn bảo mật khắt khe như ISO 27001 hay PCI DSS khi thiết bị mang đầy rủi ro chưa được kiểm soát chặt.

Nhận định chuyên gia

Sự tiến hóa của phần mềm trên store chính quy thường tạo ra cảm giác an toàn thụ động, tuy nhiên rủi ro lại đang lớn dần trong kỷ nguyên Manifest V3. Rất nhiều kĩ sư an ninh mạng mặc định cập nhật Manifest V3 của Chrome sẽ "vá chặt" malware bằng cách triệt tiêu khả năng chặn/sửa đổi gói tin của webRequest. Ngược lại, chiến dịch 108 extension này minh chứng rõ ràng việc hacker đã thích nghi hoàn hảo qua việc lạm dụng API cung cấp sẵn – declarativeNetRequest. Chúng làm phai nhoà ranh giới giữa kiểm duyệt nội dung và xâm phạm Content-Security-Policy.

Xét trên bức tranh lớn, đây không phải hoạt động đánh cắp đơn lẻ cá nhân, mà là một quy trình kinh doanh tội phạm trơn tru (MaaS). Hệ thống backend quản lý định danh chéo (Google Subject ID), xây kho Telegram Sessions, duy trì module thanh toán riêng minh họa tổ chức hacker này có tầm vóc bài bản đáng kinh ngạc. Điểm chí mạng đối với các tổ chức nằm ở những plugin tưởng chừng sinh thái "Translation tool". Khi nhân viên sao chép và phiên dịch văn bản thông thường (hợp đồng nhạy cảm, mã code, cấu hình kiến trúc), họ phó mặc kênh trung gian này đẩy thô dữ liệu tới request ẩn /Translation của C2. Một Data Loss Prevention (DLP) solution hiện tại rất khó để bắt chừng những rò rỉ âm thầm đi qua lớp SSL/HTTPS vốn dĩ được ngộ nhận là tính năng ứng dụng tự nhiên.

Khuyến nghị

Immediate (0-24h)

• Rà soát hệ thống DNS filter, EDR và firewall web proxy, bắt buộc bổ sung các rules deny, block triệt để chiều in/out với domains tập hợp *.cloudapi[.]stream, top[.]rodeo và IP 144.126.135.238.

• Khởi động quét tập trung từ Endpoint Manager hoặc Active Directory toàn bộ các devices. Force Uninstall nếu dò tìm thấy match với chuỗi Extension ID có trong whitelist. Đồng thời cho Force-logout (revoke credentials) mọi session khả nghi tại hệ thống làm việc với Google.

Short-term (1-7 ngày)

• Xây dựng SIEM Correlation Rules săn lùng các tác nhân lạ, đặc biệt là nhóm user-agent có lịch sử kết nối mạnh đến web.telegram.org hoặc https://www.googleapis.com/oauth2/v3/userinfo không đến từ ứng dụng Desktop/Web App chính dòng.

• Thiết lập quy trình dọn dẹp các cache, token local tại các user khả nghi.

Long-term

• Chuyển hẳn mô hình vận hành từ "Blocklist" thụ động sang "Allowlist" tích cực cho mọi Extension hoạt động tại thiết bị. Doanh nghiệp chỉ phê duyệt các plugin mà publisher có trust-tier và công khai repository bản vá. Chặn đứng các can thiệp từ extension tới internal domains.

MITRE ATT&CK

• T1176 - Browser Extensions

• T1539 - Steal Web Session Cookie

• T1528 - Steal Application Access Token

• T1041 - Exfiltration Over C2 Channel

• T1071.001 - Application Layer Protocol: Web Protocols

• T1027 - Obfuscated Files or Information

• T1185 - Browser Session Hijacking

Indicators of Compromise (IOCs)

Email address

• kiev3381917@gmail[.]com

• formatron.service@gmail[.]com

• nashprom.info@gmail[.]com

• viktornadiezhdin@gmail[.]com

• support@top[.]rodeo

• slava.nadejdin.kiev@gmail[.]com

• nadejdinv@gmail[.]com

Publisher name

• Yana Project

• GameGen

• SideGames

• Rodeo Games

• InterAlt

Project Credentials

• Google Cloud Project: 1096126762051

• Google Cloud Project: 170835003632

Network Indicators

• cloudapi[.]stream

• tg[.]cloudapi[.]stream

• mines[.]cloudapi[.]stream

• topup[.]cloudapi[.]stream

• cdn[.]cloudapi[.]stream

• multiaccount[.]cloudapi[.]stream

• wheel[.]cloudapi[.]stream

• gamewss[.]cloudapi[.]stream

• api[.]cloudapi[.]stream

• chat[.]cloudapi[.]stream

• crm[.]cloudapi[.]stream

• top[.]rodeo

• metal[.]cloudapi[.]stream

• 144[.]126[.]135[.]238

• coin-miner[.]cloudapi[.]stream

• goldminer[.]cloudapi[.]stream

• herculessportslegend[.]cloudapi[.]stream

C2 Endpoints

• tg[.]cloudapi[.]stream/save_session.php

• tg[.]cloudapi[.]stream/count_sessions.php

• tg[.]cloudapi[.]stream/get_sessions.php

• tg[.]cloudapi[.]stream/get_session.php

• tg[.]cloudapi[.]stream/delete_session.php

• tg[.]cloudapi[.]stream/save_title.php

• mines[.]cloudapi[.]stream/auth_google

• mines[.]cloudapi[.]stream/user_info

• mines[.]cloudapi[.]stream/slot_test/

• api[.]cloudapi[.]stream:8443/Register

• api[.]cloudapi[.]stream:8443/Translation

• top[.]rodeo/server/remote.php

• top[.]rodeo/server/remote3.php

• top[.]rodeo/notify.php

• cloudapi[.]stream/install/

• cloudapi[.]stream/uninstall/

Chrome Extension IDs

1. obifanppcpchlehkjipahhphbcbjekfa - Telegram Multi-account

2. mdcfennpfgkngnibjbpnpaafcjnhcjno - Web Client for Telegram - Teleside

3. mmecpiobcdbjkaijljohghhpfgngpjmk - YouSide - Youtube Sidebar

4. bfoofgelpmalhcmedaaeogahlmbkopfd - Web Client for Youtube - SideYou

5. cbfhnceafaenchbefokkngcbnejached - Web Client for TikTok

6. ogogpebnagniggbnkbpjioobomdbmdcj - Text Translation

7. ldmnhdllijbchflpbmnlgndfnlgmkgif - Page Locker

8. lnajjhohknhgemncbaomjjjpmpdigedg - Page Auto Refresh

9. aecccajigpipkpioaidignbgbeekglkd - Web Client for Rugby Rush - SideGame

10. akebbllmckjphjiojeioooidhnddnplj - Formula Rush Racing Game

11. akifdnfipbeoonhoeabdicnlcdhghmpn - Piggy Prizes - Slot Machine

12. akkkopcadaalekbdgpdikhdablkgjagd - Slot Arabian

13. alkfljfjkpiccfgbeocbbjjladigcleg - Frogtastic

14. alllblhkgghelnejlggmmgjbkdabidie - Black Beard Slot Machine

15. amkkjdjjgiiamenbopfpdmjcleecjjgg - Indian - Slot Machine

16. amnaljnjmgajgajelnplfmidgjgbjfhe - Mahjong Deluxe

17. bbjdlbemjklojnbifkgameepcafflmem - Crazy Freekick

18. bdnanfggeppmkfhkgmpojkhanoplkacc - Slot Car Racing

19. bgdkbjcdecedfoejdfgeafdodjgfohno - Clear Cache Plus

20. bnchgibgpgmlickioneccggfobljmhjc - Galactica Delux - Slot Machine

21. bpljfbcejldmgeoodnogeefaihjdgbam - Speed Test for Chrome - WiFi SpeedTest

22. cbnekafldflkmngbgmbnfmchjaelnhem - Game SkySpeedster

23. cdpiopekjeonfjeocbfebemgocjciepp - Master Chess

24. cehdkmmfadpplgchnbjgdngdcjmhlfcc - Hockey Shootout

25. cljengcehefhflhoahaambmkknjekjib - Odds Of The Gods - Slot Machine

26. clpgopiimdjcilllcjncdkoeikkkcfbi - Billiards Pro

27. cmeoegkmpbpcoabhlklbamfeidebgmdf - Three Card Poker

28. cmlbghnlnbjkdgfjlegkbjmadpbmlgjb - Donuts - Slot Machine

29. cnibdhllkgidlgmaoanhkemjeklneolk - Archer - Slot Machine

30. cpnfioldnmhaihohppoaebillnambcgn - Rugby Rush

31. dbohcpohlgnhgjmfkakoniiplglpfhcb - Bingo

32. dcamdpfclondppklabgkfaofjccpioil - Web Client for game Cricket Batter Challenge

33. dljlpildgknddpnahppkihgodokfjbnd - Slot Machine Zeus Treasures

34. dlpiookhionidajbiopmaajeckifeehn - Horse Racing

35. dmaibhbbpmdihedidicfeigilkbobcog - Aztec - Slot Machine

36. dohenclhhdfljpjlnpjnephpccbdgmmb - Straight 4

37. dpdemambcedffmnkfmkephnhhnclmcio - Slot The Gold Pot

38. ejlcbfmhjbkgohopdkijfgggbikgbacb - American Roulette Royale

39. eljfpgehlncincemdmmnebmnlcmfamhm - Asia Slot

40. enmmilgindjmffoljaojkcgloakmloen - Web Client for game Drive Your Car

41. eoklnfefipnjfeknpmigmogeeepddcch - Jurassic Giants - Slot Machine

42. fddajeklkkggbnppabbhkdmnkdjindlo - Street Basketball

43. fibgndhgobbaaekmnneapojgkcehaeac - Tarot Side Panel

44. fjfhejmbhpabkacpoddjbcfandjoacmb - Dragon Slayer - Slot Machine

45. flkdjodmoefccepdihipjdlianmkmhgc - Best Blackjack

46. fmajpchoiahphjiligpmghnhmabolhoh - Book Of Magic - Slot Machine

47. gaafhblhbnkekenogcjniofhbicchlke - Snake - Slot Machine

48. gbaoddbbpompjhmilbgiaapkkakldlpc - Dice King - Classic Craps And Roll Game

49. gbhhgipmedccnankkjchgcidiigmioio - Slot Ramses

50. gfhcdakcnpahfdealajmhcapnhhablbp - Battleship War

51. gipmochingljoikdjakkdolfcbphmlom - Gold Miner 2

52. glofhphmolanicdaddgkmhfmjidjkaem - Greyhound Racing - Dog Race Simulator

53. haochenfmhglpholokliifmlpafilfdc - Hercules: Sports Legend

54. hbobdcfpgonejphpemijgjddanoipbkj - Flicking Soccer

55. hdmppejcahhppjhkncagagopecddokpi - Voodoo Magic - Slot Machine

56. heljkmdknlfhiecpknceodpbokeipigo - Web Client for Hockey Shootout - SideGame

57. hiofkndodabpioiheinoiojjobadpgmj - MASTER CHECKERS

58. hkbihmjhjmehlocilifheeaeiljabenb - Watercraft Rush

59. hlmdnedepbbihmbddepemmbkenbnoegd - Car Rush

60. hmlnefhgicedcmebmkjdcogieefbaagl - Video Poker Deuces Wild

61. hnpbijogiiaegambgpaenjbcbgaeimlf - Slot Machine Ultimate Soccer

62. ibelidmkbnjmmpjgfibbdbkamgcbnjdm - Christmas Eve - Slot Machine

63. ihbkmfoadnfjgkpdmgcboiehapkiflme - Columbus Voyage - Slot Machine

64. ijccacgjefefdpglhclnbpfjlcbagafm - High or Low Casino Game

65. ijfmkphjcogaealhjgijjfjlkpdhhojk - Goalkeeper Challenge

66. ijpgccpmogehkjhdmomckpkfcpbjlmnj - Tropical Beach - Slot Machine

67. imjmnghlhiimodfkdkgnfplhlobehnpm - BlackJack 3D

68. jddinhnhplibccfmniaakhffpjpnaglp - Web Client for game Classic Bowling

69. jmopjanoebpdbopigcbpjhiigmjolikk - Raging Zeus Mines

70. jnmmbmkmbkcccpihjgnhjmhhkokfdnfe - Classic Backgammon

71. jodocbbdcdclkhjkibnlfhbmllcpfkfo - Slot Machine The Fruits

72. kahcolfecjbejjjadhjafmihdnifonjf - Baccarat

73. kblomapfkjidbbbdllmofkcakcenkmec - Mini Golf World

74. kbmindomjiejdikjaagfdbdfpnlanobi - Gold Rush - Slot Machine

75. kbnkkecifeppobnemkielnpagifkobki - Pirat Slot

76. kjnakdbpijigdbfepipnbafnhbcfdkga - 40 Imperial Crown - Slot Machine

77. kknakidneabpfgepadgpkibalcnabnnh - 3D Soccer Slot Machine

78. klglejfbdeipgklgaepnodpjcnhaihkd - Premium Horse Racing

79. kmiidcaojgeepjlccoalkdimgpfnbagj - Tanks Game

80. lcijkepobdokkgmefebkiejhealgblle - Caribbean Stud Poker

81. lefndgfmmbdklidbkeifpgclmpnhcilg - Wild Buffalo - Slot Machine

82. lfkknbmaifjomagejflmjklcmpadmmdg - Aqua - Slot Machine

83. ljbgkfbiifhpgpipepnfefijldolkhlm - Game Crypto Merge

84. lmcpbhamfpbonaenickjclacodolkbdl - Sherwood Forest - Slot Machine

85. lmgenhmehbcolpikplhkoelmagdhoojn - Web Client for game Fatboy Dream

86. maeccdadgnadblfddcmanhpofobhgfme - Lone Star Jackpots - Slot Machine

87. medkneifmjcpgmmibfppjpfjbkgbgebl - Hidden Kitty Game

88. mheomooihiffmcgldolenemmplpgoahn - Keno

89. mmbbjakjlpmndjlbhihlddgcdppblpka - Jokers Bonanza - Slot Machine

90. mmbkmjmlnhocfcnjmbchmflamalekbnb - Penalty Kicks

91. nbgligggjfgkpphhghhjdoiefbimgooc - Pai Gow Poker

92. ncpdkpcgmdhhnmcjgiiifdhefmekdcnf - Metal Calculator

93. ndajcmifndknmkckdcdefkpgcodciggk - Farm - Slot Machine

94. nelbpdjegmhhgpfcjclhdmkcglimkjpp - Rail Maze Puzzle

95. nkacmelgoeejhjgmmgflbcdhonpaplcg - RED DOG CARD GAME

96. nmegibgeklckejdlfhoadhhbgcdjnojb - Coin Miner 2

97. nodobilhjanebkafmpihkpoabiggnnfl - Black Ninja - Slot Machine

98. oanpifaoclmgmflmddlgkikfaggejobn - Pyramid Solitaire

99. ocflhkadmmnlbieoiiekfcdcmjcfeahe - Chrome Client for Downhill Ski - SideGame

100. odeccdcabdffpebnfancpkepjeecempn - Slot Machine Mr Chicken

101. oejhnncfanbaogjlbknmlgjpleachclf - Web Client for French Roulette - SideGame

102. ogbaedmbbmmipljceodeimlckohbnfan - 3D Roulette Casino Game

103. ojkbafekojdcedacileemekjdfdpkbkf - Slot Machine Space Adventure

104. pdgaknahllnfldmclpcllpieafkaibmf - Whack 'em All

105. peflgkmfmoijonfgcjdlpnnfdegnlaji - Video Poker Jacks or Better

106. phfkdailnomcbcknpdmokejhellbecjb - Swimming Pro

107. pkghgkfjhjghinikeanecbgjehojfhdg - InterAlt

108. pllkanemicadpcmkfodglahcocfdgkhj - Gold of Egypt - Slot Machine

Tham khảo

https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2
https://arstechnica.com/security/2025/04/researcher-uncovers-dozens-of-sketchy-chrome-extensions-with-4-million-installs/