Die Browser-Sicherheit befindet sich in einer Krise: Zwei populäre Chrome-Erweiterungen haben sich nach einem mutmaßlichen Besitzerwechsel in gefährliche Malware-Vektoren verwandelt. Die betroffenen Add-ons QuickLens und ShotBird wurden ursprünglich von einem Entwickler unter der E-Mail-Adresse “akshayanuonline@gmail.com” registriert, bevor sie an neue Betreiber übergingen.
Die Übernahme war der Anfang des Problems: ShotBird, das im November 2024 gestartet wurde und sogar mit einem “Featured”-Badge ausgezeichnet war, wurde im Januar 2025 an einen neuen Entwickler (“loraprice198865@gmail.com”) transferiert. QuickLens folgte einem ähnlichen Muster – nach nur zwei Tagen Veröffentlichung wurde es zum Verkauf angeboten und wechselte im Februar 2026 den Besitzer.
Die Angreifer zeigten Raffinesse bei der Umsetzung ihrer Anschläge. Bei QuickLens entfernte eine bösartige Aktualisierung vom 17. Februar 2026 systematisch Sicherheits-Header wie X-Frame-Options aus HTTP-Responses, was es ermöglichte, beliebige Skripte in Webseiten einzuschleusen und Content-Security-Policy-Schutzmaßnahmen zu umgehen. Das Exploit-System war besonders tückisch konstruiert: Statt verdächtigen Code direkt in den Quelltext zu integrieren, speicherte die Erweiterung die Malware im lokalen Browser-Speicher und lud sie dynamisch nach – vollständig versteckt vor statischen Analysen.
ShotBird verfolgte einen noch direkteren Ansatz zur Systemkompromittierung. Die Erweiterung zeigte Nutzern ein gefälschtes Chrome-Update-Fenster an, das bei Klick auf eine ClickFix-artige Seite führte und die Windows-Eingabeaufforderung öffnete, um PowerShell-Befehle auszuführen. Das Ergebnis war ein Download der Malware “googleupdate.exe” – ein klassisches Szenario für die Eskalation von Browser-Exploits zu vollständiger Systemkompromittierung.
Die Datensammel-Funktion war umfassend: Die Malware überwachte systematisch Eingabefelder, um Passwörter, PIN-Codes, Kreditkartendaten und Zugriffstoken zu erfassen. Zusätzlich zapfte sie Chrome-Browserdaten wie Passwörter, Verlauf und Erweiterungsinformationen an. Sicherheitsforscher klassifizierten dies als “Zwei-Stufen-Missbrauchskette”: zuerst Remote-Browser-Kontrolle durch die Erweiterung, dann Umkehrung zur Systemebene via gefälschte Updates.
Die Analyse deutet darauf hin, dass ein einzelner Bedrohungsakteur hinter beiden Kompromittierungen steckt – unterstützt durch identische Command-and-Control-Infrastrukturen, konsistente ClickFix-Köder und die Strategie des Besitzerwechsels als Infektionsvektor. Der ursprüngliche Entwickler hatte zuvor mehrere andere Erweiterungen mit Featured-Auszeichnung veröffentlicht, was die Frage aufwirft, ob es sich um einen Insider-Missbrauch oder eine Account-Übernahme handelt.
Dieser Vorfall ist nur die Spitze eines größeren Problems der Browser-Erweiterungs-Lieferkette. In den letzten Wochen wurden zahlreiche weitere Fälle bekannt: Eine gefälschte imToken-Erweiterung (Chromophore) lockte Nutzer mit der Versprechung eines Farbvisualisierers an und stahl Kryptowährungs-Seed-Phrasen durch Phishing. Eine als “Chrome MCP Server - AI Browser Control” maskierte Erweiterung agierte als vollständiger Remote-Access-Trojaner unter dem Deckmantel eines KI-Automation-Tools.
Besonders besorgniserregend ist die systematische Rückkehr gelöschter Malware: Drei Urban-VPN-Erweiterungen, die nachweislich OpenAI ChatGPT, Anthropic Claude, Microsoft Copilot und andere KI-Chatbots ausspioniert hatten, tauchten nach ihrer öffentlichen Enthüllung im Dezember 2025 im Januar 2026 in “bereinigter” Form erneut auf dem Chrome Web Store auf.
Eine massive Kampagne mit über 30.000 Domains verteilt eine Erweiterung namens “OmniBar AI Chat and Search”, die Chrome-Einstellungen hijackt, um die Startseite und Standardsuchmaschine auf attacker-kontrollierte URLs umzuleiten. Dies ist Teil eines großflächigen Affiliate-Marketing-Betrugs.
Forscher der Palo Alto Networks’ Unit 42 identifizierten auch Erweiterungen, die systematisch Browsing-Aktivität überwachen, um Affiliate-Links einzuschleusen, sowie Tools, die Reddit-Kommentare extrahieren und an externe APIs übertragen.
Die Empfehlung für Nutzer ist klar: Sofortige Deinstallation aller verdächtigen Erweiterungen, Vermeidung unverifizerter Add-ons und gründliche Browser-Überprüfung. Für Unternehmen wird deutlich, dass Browser-Erweiterungen ein unterschätztes Sicherheitsrisiko darstellen – ein persistenter Datensammel-Mechanismus, der tief in den alltäglichen Arbeitsablauf eingebunden ist.