Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Estensioni browser dannose: una libreria raccoglie dati dagli utenti per fini commerciali

Redazione RHC : 14 Luglio 2025 07:10

Le estensioni per Chrome, Firefox ed Edge, installate quasi un milione di volte, aggirano la protezione e trasformano i browser in scraper che raccolgono informazioni dai siti web per clienti commerciali. Secondo gli analisti di SecurityAnnex , sono state scaricate 245 estensioni dannose, per un totale di circa 909.000 volte. Tutte hanno scopi diversi, tra cui la gestione dei segnalibri e degli appunti, l’aumento del volume e la generazione di numeri casuali. Ma condividono tutte la stessa libreria open source MellowTel-js, che consente agli sviluppatori di monetizzare le proprie estensioni.

I ricercatori affermano che la monetizzazione si basa sull’uso di estensioni per estrarre informazioni da siti web a vantaggio di clienti commerciali. Tra questi, secondo il fondatore di MellowTel, Arsian Ali, ci sono anche startup di intelligenza artificiale. Gli analisti di SecurityAnnex sono giunti a questa conclusione dopo aver scoperto stretti legami tra MellowTel e Olostep, un’azienda che si definisce “la soluzione di scraping API più affidabile e conveniente al mondo”.

Olostep afferma che i suoi bot “evitano il rilevamento e possono elaborare fino a 100.000 richieste in parallelo in pochi minuti”. Quindi, i clienti dell’azienda pagano, specificano la posizione dei browser tramite cui desiderano accedere a determinate pagine web e Olostep utilizza il suo database di estensioni installate per soddisfare la richiesta. “Abbiamo motivo di credere che le richieste di scraping di Olostep siano distribuite su tutte le estensioni attive che utilizzano la libreria MellowTel”, affermano gli esperti.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il creatore di MellowTel, a sua volta, sostiene che la sua libreria sia progettata per “condividere le connessioni internet [degli utenti] (senza inserire link di affiliazione, pubblicità non correlate o la necessità di raccogliere dati personali)”. Afferma inoltre che “il motivo principale per cui le aziende pagano per il traffico è accedere in modo affidabile ed economico ai dati disponibili al pubblico dai siti web”. Secondo lo sviluppatore, gli autori delle estensioni ricevono il 55% dei ricavi e MellowTel il resto.

    Tuttavia, SecurityAnnex avverte che le estensioni che utilizzano MellowTel rappresentano un rischio per gli utenti. Uno dei motivi è che MellowTel impone alle estensioni di attivare un web socket che si connette a un server AWS che raccoglie informazioni su posizione, larghezza di banda disponibile, attività e stato degli utenti dell’estensione. Oltre alla violazione della privacy, WebSocket inietta anche un iframe nascosto nelle pagine visualizzate, che si collega a siti da un elenco recuperato dal server AWS. E gli utenti non hanno modo di “vedere” quali siti vengono aperti nell’iframe nascosto.

    Indebolire l’intera esperienza di navigazione in questo modo può esporre gli utenti ad attacchi cross-site scripting che normalmente vengono prevenuti. Quindi, non solo i tuoi utenti diventano inconsapevolmente dei bot, ma sono anche vulnerabili durante la navigazione sul web. Gli esperti sottolineano inoltre che il problema di MellowTel è che i siti che la biblioteca apre sono nascosti agli utenti finali. Infatti, le persone devono fidarsi di MellowTel per verificare la sicurezza e l’affidabilità di ogni risorsa che aprono.

    Lo stato attuale delle estensioni che utilizzano MellowTel è:

    • 12 delle 45 estensioni di Chrome trovate non sono più attive. Alcune sono state rimosse a causa del rilevamento di malware, mentre in altri casi gli sviluppatori stessi hanno smesso di utilizzare la libreria;
    • Solo 8 delle 129 estensioni di Edge sono state disabilitate;
    • Delle 71 estensioni pericolose per Firefox, solo 2 sono state disattivate.

    L’elenco completo delle estensioni è disponibile qui .

    In seguito alle accuse dei ricercatori e a numerosi resoconti dei media, il creatore di MellowTel, Arsian Ali, ha pubblicato una lunga risposta, in cui afferma che sta solo cercando di “creare un’alternativa open source ai meccanismi pubblicitari e un motore di monetizzazione per il mondo dell’intelligenza artificiale”.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Sindoor Dropper: il malware che usa lo scontro India-Pakistan per infettare Linux
    Di Redazione RHC - 31/08/2025

    Un’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione arti...

    Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
    Di Redazione RHC - 30/08/2025

    E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...

    Il Pentagono avvia un Audit su Microsoft. Si indaga sugli ingegneri cinesi e su presunte backdoor
    Di Redazione RHC - 30/08/2025

    Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...

    La miglior difesa è l’attacco! Google è pronta a lanciare Cyber Attacchi contro gli hacker criminali
    Di Redazione RHC - 30/08/2025

    Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...

    Una exploit Zero-Click per WhatsApp consentiva la sorveglianza remota. Meta avvisa le vittime
    Di Redazione RHC - 30/08/2025

    Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...