Nel momento in cui scriviamo e pubblichiamo questo articolo, le due estensioni malevole sono ancora presenti sulle pagine del Chrome Web Store: meglio starne alla larga ed eventualmente disinstallarle se presenti sul proprio computer. Si chiamano entrambe Phantom Shuttle. Una ha poche centinaia di utenti e nessuna recensione, l’altra invece ne può contare migliaia e un voto medio pari a 3,8/5.
Phantom Shuttle, estensioni malevole per Chrome
Sono spacciate per plugin di un servizio proxy e per un test di velocità della connessione. In realtà sono sviluppate con l’obiettivo di rubare le credenziali e di intercettare il traffico generato dal dispositivo su cui sono scaricate. Stando a quanto emerso, sono disponibili almeno fin dal 2017 e richiedono persino la sottoscrizione di un abbonamento premium, proposto a un costo mensile che varia da circa 1,40 a 13,50 dollari. Prendono di mira soprattutto gli utenti in Cina (la descrizione è in lingua cinese), ma nulla ne impedisce l’installazione in altri paesi.
A scoprire il pericolo sono stati i ricercatori di Socket.dev, ricostruendo la dinamica messa a punto dai cybercriminali per allungare le mani sulle informazioni private. Ciò che fanno le estensioni è sfruttare la libreria jQuery per far transitare tutti i dati attraverso proxy controllati da loro, seguendo un percorso tipico degli attacchi man-in-the-middle. Per ulteriori dettagli tecnici rimandiamo al post dedicato sul blog ufficiale (link a fondo articolo).
Google è stata messa a conoscenza del problema, ma non è ancora intervenuta per eliminare Phantom Shuttle da Chrome Web Store e al momento non ha rilasciato alcuna dichiarazione. È una testimonianza, purtroppo l’ennesima, di come gli sforzi fin qui messi in campo dal gruppo di Mountain View per rendere sicura la piattaforma non siano sufficienti, nonostante i passi in avanti. Non è incoraggiante, considerando che si tratta del browser dominante in termini di market share.
Ti potrebbe interessare
23 dic 2025