Blog

Comment les extensions web peuvent nuire à votre site (INFIRC[.]com et INFIRD[.]com)

Les domaines infirc[.]com et infird[.]com ont récemment causé beaucoup d'agitation et mis en évidence les dangers des extensions web infectées ou malveillantes

Oct 18, 2024 • 5 min read

Simon Wijckmans Founder & CEO

Les domaines infirc[.]com et infird[.]com ont récemment causé beaucoup d'agitation et mis en évidence les dangers des extensions web infectées ou malveillantes.

Infirc[.]com a été observé pour la première fois dans notre backend en apparaissant comme en-tête referer, bien qu'il ne soit ni hébergé ni référencé par notre site.

Notre répertoire de domaines public a indexé le domaine juste après, et notre moteur de détection interne l'a signalé comme potentiellement malveillant.

Entrée du répertoire cside analysant le domaine récemment enregistré infirc.com

Accédez à cette page dans notre répertoire.

Infirc[.]com est un domaine nouvellement enregistré sans objectif clair ni réputation établie.

Quelques semaines plus tard, nous avons remarqué une augmentation significative des impressions et des clics de recherche sur cette page, indiquant que les gens recherchaient ce domaine. Cela nous a incités à approfondir nos investigations.

Graphique Search Console montrant la hausse des impressions pour les requêtes infirc.com

Un domaine malveillant à l'intérieur d'une extension web (plugin)

Selon la source, cela suggère que le script a été trouvé sur cside, mais nous ne sommes pas infectés. La seule autre possibilité est des visites provenant d'un navigateur avec une extension web qui tente d'injecter du code.

Dans certains cas, les identifiants d'extension sont divulgués. Dans ce cas, nous n'avons pas pu en trouver un.

Si l'extension web de quelqu'un est infectée, ou si un attaquant en crée une, elles peuvent être utilisées pour attaquer des sites web. Par exemple, vous avez un site e-commerce qui permet aux visiteurs de créer des comptes et d'effectuer des transactions. Un visiteur avec une extension web infectée achète un produit. Dans ce processus, ses informations personnelles et ses détails financiers sont capturés par le script tiers malveillant à l'intérieur de l'extension infectée.

Alternativement, une extension malveillante peut utiliser du trafic de bots pour capturer tout type d'information qu'elle n'est pas censée accéder.

Nous avons remarqué un afflux de requêtes proxy provenant de différentes adresses IP à travers le monde, notamment :

République tchèque
Chine
Londres (via VPN)
Japon

Les journaux du 17 septembre 2024 montrent la première trace d'infirc[.]com effectuant des requêtes vers notre backend. Au fil du temps, en particulier vers le 13 octobre 2024, nous avons observé 145 requêtes proxy dirigées vers ce domaine en une seule journée.

Chaque requête présentait un agent utilisateur distinct et différent, rendant difficile l'identification d'une source unique d'activité. Probablement du trafic piloté par des bots ou une attaque coordonnée à travers une gamme d'agents utilisateurs et de VPN.

Le 15 octobre, nous avons capturé et indexé infird[.]com, qui présentait des similitudes.

Entrée du répertoire cside analysant le domaine récemment enregistré infird.com

Accédez à cette page dans notre répertoire.

Les scripts malveillants chargés par les domaines

En creusant plus profondément, nous avons révélé un réseau complexe de scripts, d'extensions et de domaines externes. Infirc[.com] et infird[.com] hébergent tous deux le même script, comme on peut le voir sur ces deux pages :

Les deux scripts référençaient AliExpress et un autre domaine, rano[.]info. Ce dernier pourrait être un domaine d'ingestion utilisé pour collecter, traiter ou recevoir des données provenant de sources externes.

L'analyse des scripts a révélé des tentatives de contourner les mécanismes de détection courants. Comme l'a souligné l'examen technique, les deux domaines chargent des scripts externes provenant de sources non fiables comme :

zurano[.]info/zimblat?i=7OB7CVF5V7&atr=477978779Le domaine zurano[.]info a été signalé comme n'étant ni légitime ni associé à des services de confiance.

Le script a également été vu transmettant des données à d'autres serveurs externes, notamment :

https://overbridgenet[.]com/jsv8/offer
Google Analytics via le Measurement Protocol : https://www.google-analytics[.]com/mp/collect

Ce comportement indique qu'infirc[.]com ne facilite pas seulement le chargement de scripts non autorisés, mais envoie également des données à divers serveurs externes, possiblement pour suivre les utilisateurs ou manipuler les analyses.

Deux fonctions, _0xfc929c() et _0x1238ee(), ont été identifiées dans le code, suggérant que le script pourrait tenter de :

Rediriger les utilisateurs vers différentes URL.
Modifier les liens ou les interactions sur la page sans le consentement de l'utilisateur.

Ce type de comportement montre une possible tentative de modifier l'expérience de navigation des utilisateurs ou de phisher des informations sensibles en les redirigeant vers des sites malveillants.

Le script inclut des vérifications spécifiques pour éviter de s'exécuter dans des environnements particuliers, tels que des plateformes comme Google, Bing et d'autres réseaux sociaux, afin d'éviter la détection dans des environnements de haut niveau et bien défendus.

Les CSP sont largement utilisées comme première couche de protection contre les attaques côté client, y compris celles-ci. Les attaquants les connaissent et peuvent facilement les contourner. Nous ne nous appuyons pas sur les CSP et avons pu les détecter.

Comment protéger votre site

Veuillez vérifier votre code pour toute référence à ces domaines et les supprimer. Cependant, il s'agit presque certainement d'un script tiers malveillant qui tente d'être injecté de l'extérieur.

Nous pouvons bloquer ces tentatives. Bien qu'il soit important de mentionner que si les attaquants connaissent la présence de cside, ils peuvent également nous contourner. Il s'agit d'une attaque provenant du navigateur d'un visiteur, et non d'un code tiers malveillant déjà présent sur votre propre site. Nous sommes toujours en mesure de détecter et de vous informer des tentatives des attaquants, y compris le partage d'informations cruciales comme les adresses IP et l'heure des tentatives.

Tous les scripts tiers présents sur votre site qui sont compromis, nous pouvons les détecter et les bloquer avant qu'ils ne s'exécutent dans le navigateur de vos visiteurs. Les protégeant, ainsi que vous, des acteurs malveillants.

En utilisant notre offre gratuite, vous êtes protégé contre cette attaque et d'autres attaques similaires.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Les extensions injectent des scripts sur chaque page visitée. Deux domaines que nous avons suivis — infirc.com et infird.com — étaient chargés par une extension et apparaissaient dans nos analytics comme un trafic referer factice ressemblant à une attaque contre notre site.

Comparez le motif d'en-tête referer à une source unique. Le trafic d'extension apparaît sur de nombreux user agents et IP sans origine cohérente. Des outils d'annuaire de domaines comme cside.com/domains aident à corréler rapidement la source suspecte.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Comment empêcher les agents IA de créer de faux comptes (guide)

Les agents IA créent de faux comptes avec des navigateurs réels, des IP résidentielles et des identités générées. Voici les signaux pour les arrêter.

Comment bloquer les bots de scraping de contenu basés sur des agents IA (Guide)

Les bots de scraping IA utilisent de vrais navigateurs, des IP résidentielles et des LLM pour voler vos données. Voici comment les arrêter.

Bannière sombre cside montrant une attaque de chaîne d'approvisionnement npm de type ver

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

Banniere illustree du blog sur les sanctions contre Funnull, le blanchiment d'infrastructure et le risque de chaine d'approvisionnement dans le navigateur

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.

Illustration du stack de sécurité avec inférence sur appareil

L'inférence sur appareil arrive dans votre stack de sécurité : pour le meilleur et pour le pire

L'IA locale peut protéger les données sensibles et renforcer l'endpoint, mais crée des risques de prompt injection, télémétrie et navigateur.

Couverture sombre cside avec des points sur les outils de détection des agents IA

4 outils pour détecter les agents IA sur votre site web (prévention de la fraude)

Comparaison de cside, HUMAN Security, DataDome et Cloudflare pour la détection des agents IA. Découvrez comment chaque outil gère la prévention de la fraude, les tarifs et l'implémentation.

Couverture sombre cside avec des points sur le blocage des bots de test de carte par IA

Bots de test de carte pilotés par des agents IA | Comment les arrêter

Les agents de test de cartes par IA utilisent de vrais navigateurs pour valider des identifiants volés à grande échelle. Apprenez à les détecter et à les bloquer avant le paiement.

Couverture sombre cside avec des points sur les usages et le blocage des navigateurs furtifs

Qu'est-ce que les navigateurs furtifs (ou « anti-détection ») et quand les bloquer

Les navigateurs furtifs contournent la détection des bots. Les navigateurs anti-détection falsifient les empreintes. Découvrez les signaux qui révèlent les deux, même lorsqu'ils ressemblent à des humains.

Badge SourceForge Spring 2026 Top Performer à côté d’un graphique de dashboard cside

cside nommé SourceForge Spring 2026 Top Performer pour la sécurité côté client

cside a été nommé SourceForge Spring 2026 Top Performer, signe de confiance des utilisateurs en sécurité côté client et PCI.