Il team Unit 42 di Palo Alto Networks ha identificato 18 estensioni Chrome mascherate da tool di produttività AI che nascondono trojan ad accesso remoto (RAT), attacchi meddler-in-the-middle, infostealer e spyware. Le tecniche includono WebSocket C2 persistente, hooking delle API browser, osservazione passiva del DOM e decifrazione del traffico HTTPS via Chrome Debugger Protocol. Alcuni campioni contengono codice generato da LLM, segnale di una industrializzazione della produzione di malware browser.
L'articolo 18 estensioni browser AI come RAT e Spyware: Unit 42 smonta la facciata dei tool GenAI per la produttività proviene da (in)sicurezza digitale.