Blog

Hoe webextensies uw site kunnen schaden (INFIRC[.]com en INFIRD[.]com)

De domeinen infirc[.]com en infird[.]com hebben recentelijk behoorlijk wat opschudding veroorzaakt en de gevaren van geïnfecteerde of kwaadaardige webextensies benadrukt

Oct 18, 2024 • 5 min read

Simon Wijckmans Founder & CEO

De domeinen infirc[.]com en infird[.]com hebben recentelijk behoorlijk wat opschudding veroorzaakt en de gevaren van geïnfecteerde of kwaadaardige webextensies benadrukt.

Infirc[.]com werd voor het eerst waargenomen in onze backend als referer header, ondanks dat het niet wordt gehost of gerefereerd door onze site.

Onze publieke domeinendirectory indexeerde het domein direct daarna, en onze interne detectie-engine markeerde het als potentieel kwaadaardig.

Cside-directoryvermelding die het pas geregistreerde domein infirc.com analyseert

Ga naar deze pagina in onze directory.

Infirc[.]com is een nieuw geregistreerd domein zonder duidelijk doel of gevestigde reputatie.

Een paar weken later merkten we een significante toename in zoekvertoningen en klikken op deze pagina, wat erop wijst dat mensen dit domein aan het onderzoeken waren. Dit zette ons aan tot dieper graven.

Search Console-grafiek met toenemende vertoningen voor zoekopdrachten naar infirc.com

Een kwaadaardig domein binnen een webextensie (plugin)

Volgens de bron suggereert het dat het script op cside werd gevonden, maar wij zijn niet geïnfecteerd. De enige andere mogelijkheid is bezoeken vanuit een browser met een webextensie die probeert code te injecteren.

In sommige gevallen worden extensie-ID's gelekt. In dit geval konden we er geen vinden.

Als iemands webextensie geïnfecteerd is, of een aanvaller er een creëert, kunnen ze worden gebruikt om websites aan te vallen. Bijvoorbeeld, u heeft een e-commerce website waar bezoekers accounts kunnen aanmaken en transacties kunnen uitvoeren. Een bezoeker met een geïnfecteerde webextensie koopt een product. In dat proces worden hun PII en financiële gegevens vastgelegd door het kwaadaardige 3rd party script binnen de geïnfecteerde extensie.

Als alternatief kan een kwaadaardige extensie bot-verkeer gebruiken om elk soort informatie vast te leggen waartoe het geen toegang zou moeten hebben.

We merkten een toestroom van proxy-verzoeken afkomstig van verschillende IP-adressen over de hele wereld, waaronder:

Tsjechië
China
Londen (via VPN)
Japan

De logs van 17 september 2024 tonen het vroegste spoor van infirc[.]com dat verzoeken naar onze backend deed. Naarmate de tijd vorderde, vooral rond 13 oktober 2024, observeerden we 145 proxy-verzoeken gericht op dit domein op één dag.

Elk verzoek presenteerde een onderscheidende en verschillende user agent, waardoor het moeilijk was om één enkele bron van activiteit te identificeren. Waarschijnlijk bot-gedreven verkeer of een gecoördineerde aanval via een reeks user agents en VPN's.

Op 15 oktober vingen en indexeerden we infird[.]com, dat gelijkenis vertoonde.

Cside-directoryvermelding die het pas geregistreerde domein infird.com analyseert

Ga naar deze pagina in onze directory.

De kwaadaardige scripts geladen door de domeinen

Dieper graven onthulde een complex netwerk van scripts, extensies en externe domeinen. Zowel infirc[.com] als infird[.com] hosten hetzelfde script, zoals te zien is op beide pagina's:

Beide scripts verwezen naar AliExpress en een ander domein, rano[.]info. Dit laatste zou een ingest-domein kunnen zijn dat wordt gebruikt om gegevens van externe bronnen te verzamelen, verwerken of ontvangen.

De analyse van de scripts onthulde pogingen om veelvoorkomende detectiemechanismen te omzeilen. Zoals benadrukt door de technische review, laden beide domeinen externe scripts van niet-vertrouwde bronnen zoals:

zurano[.]info/zimblat?i=7OB7CVF5V7&atr=477978779Het domein zurano[.]info werd gemarkeerd als noch legitiem noch geassocieerd met vertrouwde diensten.

Het script werd ook gezien bij het verzenden van gegevens naar andere externe servers, waaronder:

https://overbridgenet[.]com/jsv8/offer
Google Analytics via het Measurement Protocol: https://www.google-analytics[.]com/mp/collect

Dit gedrag geeft aan dat infirc[.]com niet alleen het laden van ongeautoriseerde scripts faciliteert, maar ook gegevens naar verschillende externe servers stuurt, mogelijk om gebruikers te volgen of analyses te manipuleren.

Twee functies, _0xfc929c() en _0x1238ee(), werden geïdentificeerd in de code, wat suggereert dat het script mogelijk probeert:

Gebruikers naar verschillende URL's om te leiden.
Links of interacties op de pagina te wijzigen zonder toestemming van de gebruiker.

Dit type gedrag toont een mogelijke poging om de browse-ervaring van gebruikers te wijzigen of om gevoelige informatie te phishen door hen naar kwaadaardige sites om te leiden.

Het script bevat specifieke controles om te voorkomen dat het in bepaalde omgevingen draait, zoals platforms zoals Google, Bing en andere sociale medianetwerken, om detectie in hoogwaardige, goed verdedigde omgevingen te vermijden.

CSP's worden veel gebruikt als een eerste beschermingslaag tegen client-side aanvallen, inclusief deze. Aanvallers weten hiervan en kunnen het gemakkelijk omzeilen. Wij vertrouwen niet op CSP's en waren in staat het te detecteren.

Hoe u uw site kunt beschermen

Controleer uw code op verwijzingen naar deze domeinen en verwijder ze. Dit is echter vrijwel zeker een kwaadaardig 3rd party script dat van buitenaf probeert te worden geïnjecteerd.

We kunnen deze pogingen blokkeren. Hoewel het belangrijk is om te vermelden dat als de aanvallers op de hoogte zijn van de aanwezigheid van cside, ze ons ook kunnen omzeilen. Dit is een aanval afkomstig van de browser van een bezoeker, niet kwaadaardige 3rd party code die al aanwezig is op uw eigen site. We zijn nog steeds in staat om de pogingen van de aanvallers te detecteren en u hiervan op de hoogte te stellen, inclusief het delen van cruciale informatie zoals IP's en tijdstip van de pogingen.

Alle 3rd party scripts die aanwezig zijn op uw site en gecompromitteerd zijn, kunnen we detecteren en blokkeren voordat ze worden uitgevoerd in de browser van uw bezoekers. Hen, en u, beschermend tegen kwaadaardige actoren.

Door gebruik te maken van onze gratis tier, bent u veilig tegen deze en andere vergelijkbare aanvallen.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Extensies injecteren scripts op elke pagina die de gebruiker bezoekt. Twee domeinen die we volgden — infirc.com en infird.com — werden door een extensie geladen en doken in onze analytics op als nep-referer-verkeer dat op een aanval op onze site leek.

Vergelijk het referer-headerpatroon met één bron. Extensie-verkeer verschijnt over veel user-agents en IP's zonder consistente oorsprong. Domain-directory-tools zoals cside.com/domains helpen de verdachte bron snel te correleren.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Hoe je AI-agents stopt die nepaccounts aanmaken (Gids)

AI-agents maken nepaccounts aan met echte browsers, residentiële IP's en gegenereerde identiteiten. Dit is de detectiesignaalstack om ze te stoppen.

Hoe blokkeer je AI-agent content scraping bots (Gids)

AI content scraping bots gebruiken echte browsers, residentiële IP's en LLM-extractie om je prijzen en content te oogsten. Zo stop je ze.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.

SourceForge Spring 2026 Top Performer-badge naast een cside-dashboardafbeelding

cside uitgeroepen tot SourceForge Spring 2026 Top Performer voor client-side security

cside is SourceForge Spring 2026 Top Performer, een signaal van gebruikersvertrouwen in client-side security en PCI-bewijs.