Pixel Perfect Extension Kötüye Kullanımı, Gizli Komut Dosyası Enjeksiyonu ve Güvenlik Başlığının Kaldırılmasını Sağlar

Bir zamanlar Google'dan Öne Çıkanlar rozeti kazanan bir tarayıcı uzantısı, sahipliği el değiştirdikten sonra sessizce uzaktan kod yürütme aracına dönüştü ve binlerce kullanıcıyı gizli komut dosyası enjeksiyonuna ve tam tarayıcı güvenliği üstbilgisi sıyrılmasına maruz bıraktı. QuickLens adlı meşru görünümlü bir Google Lens sarmalayıcısına odaklanan kampanya, iyi incelenmiş, işlevsel bir uzantının bile tek bir sessiz güncelleme ile bir gecede nasıl silahlandırılabileceğini vurguluyor.​

QuickLens, kullanıcıların Google Lens'i kullanarak doğrudan tarayıcıdan resim aramasına olanak tanıyan pratik bir araçtı. Ekran yakalama, alan seçimi, YouTube çerçeve araması ve Amazon ürün araması sundu. Uzantı 7.000 aktif kullanıcıya ulaştı ve Google'dan Öne Çıkanlar rozeti aldı. İlk olarak 9 Ekim 2025 'te Chrome Web Mağazası'nda yayınlandı ve sadece iki gün sonra, 11 Ekim'de, geliştiricilerin mevcut kullanıcı tabanları da dahil olmak üzere uzantılarını sattıkları bir pazar yeri olan ExtensionHub'da satışa sunuldu.​

Ek analistler, bu tehdidi Ekim 2025 'teki satış listesinden başlayarak birden fazla aşamada tanımladılar. 1 Şubat 2026 'da uzantının mülkiyeti, çevrimiçi olarak doğrulanabilir bir varlığı olmayan atılabilir bir kimlik olan LLC Quick Lens olarak kayıtlı supportdoodlebuggle.top etki alanı altında faaliyet gösteren doğrulanmamış bir kuruluşa devredildi. Gizlilik politikası kowqlak.lat adresine taşınmıştır. 17 Şubat'ta, sürüm 5.8 piyasaya sürüldü ve bununla birlikte, tamamen operasyonel bir komuta ve kontrol (C2) platformu sessizce 7.000 kullanıcıya itildi.​

QuickLens 5.8 uzaktan kod yürütme platformu haline geldi (Kaynak – Ek)

Güncelleme üç temel değişiklik getirdi: arka plan hizmet çalışanına gömülü api.extensionanalyticspro.top adresinde yeni bir C2 sunucusu, iki yeni izin — declarativeNetRequestWithHostAccess ve webRequest — ve yepyeni bir rules.json dosyası. Çoğu kullanıcı için bu, çoğu kişinin incelemeden kabul ettiği türden standart bir izin güncelleme istemi olarak ortaya çıktı.