L'extension Chrome QuickLens vole des cryptomonnaies via une attaque ClickFix

L’extension Chrome QuickLens, conçue pour effectuer des recherches avec Google Lens directement dans le navigateur, a été retirée du Chrome Web Store après avoir été compromise dans une opération malveillante. Cette attaque a visé environ 7 000 utilisateurs, leur volant des cryptomonnaies. Le 17 février 2026, la version 5.8 a introduit des scripts malveillants déclenchant des attaques de type ClickFix ainsi que des vols d’informations personnelles. Précédemment mise en avant par Google, l’extension avait changé de propriétaire deux semaines plus tôt, ce qui semble avoir marqué le point de départ de sa compromission. L’attaque ClickFix repose sur une technique ingénieuse consistant à provoquer un plantage du navigateur pour afficher de faux messages d’erreur. Ces messages incitent les utilisateurs à cliquer sur une « solution » apparemment légitime, menant en réalité à l’installation de malwares, à l’image du ModeloRAT récemment découvert par des chercheurs en sécurité. Par ailleurs, QuickLens a sollicité de nouvelles permissions, telles que declarativeNetRequestWithHostAccess et webRequest, lui octroyant un accès étendu aux sites visités. Un fichier rules.json supprime les en-têtes de sécurité des navigateurs, comme Content-Security-Policy (CSP), X-Frame-Options et X-XSS-Protection, facilitant ainsi l’exécution de scripts nocifs sur n’importe quelle page web. Le nouveau propriétaire, la société LLC Quick Lens, contactable via l’e-mail support@doodlebuggle.top, a acquis l’extension via ExtensionHub, un marché en ligne où les développeurs vendent leurs créations. Ce transfert s’est accompagné d’une politique de confidentialité minimale, hébergée sur un domaine peu fiable. Des chercheurs d’Annex ont analysé en détail ces modifications, révélant les risques majeurs posés par la revente d’extensions populaires sur de telles plateformes. Cette affaire rappelle d’autres incidents où des extensions ont été sabotées après leur vente, exposant les failles des processus de validation dans les boutiques comme le Chrome Web Store. Elle met en lumière les dangers des marketplaces secondaires, moins supervisées. Les utilisateurs concernés devraient vérifier leurs portefeuilles de cryptomonnaies, scanner leurs systèmes et révoquer les permissions des extensions suspectes pour éviter d’autres pertes.