Des chercheurs de chez Redware ont averti du danger : via de faux sites, un malware (Nigelthorn) est diffusé dans de fausses extensions pour dérober des données, dont des mots de passe. La technique est classique : des pirates copient des sites très fréquentés comme YouTube, puis proposent aux internautes piégés d'installer une extension semblant légitime.

En tout, sept extensions, toutes confortablement installées dans le Chrome Web Store : Nigelify, PwnerLike, Alt-j, Fix-case, Divinity 2 Original Sin: Wiki Skill Popup, Keeprivate et iHabno.

Une fois en place, elles volent des identifiants, se connectent à Facebook pour y publier des liens malveillants, installent des cryptominers (pour Monero, Bytecoin, Electroneum…) et se lancent dans de la fraude au clic.

Elles ont depuis toutes été supprimées du Web Store. Mais si elles ont été déjà installées, elles doivent être supprimées manuellement par les utilisateurs. Les internautes sont donc encouragés à vérifier.