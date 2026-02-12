L’entusiasmo globale per l’intelligenza artificiale ha creato un terreno fertile per nuove minacce informatiche, spingendo centinaia di migliaia di utenti a scaricare strumenti che promettono di migliorare la produttività ma che, nella realtà, operano come sofisticati strumenti di spionaggio.

Una recente indagine condotta dai ricercatori di sicurezza di LayerX ha portato alla luce una vasta operazione denominata “AiFrame“, la quale coinvolge circa trenta estensioni per il browser Google Chrome.

Questi componenti aggiuntivi, mascherati da assistenti virtuali e traduttori basati su GPT o Gemini, sono stati progettati per sottrarre credenziali, leggere il contenuto delle comunicazioni personali e monitorare le attività di navigazione.

Queste estensioni di Chrome con 300.000 utenti sono in realtà malware

Crediti: Google

Nonostante alcune di queste applicazioni siano state rimosse dal Chrome Web Store, molte potrebbero essere ancora presenti sui dispositivi o risultare accessibili tramite repository online.

È fondamentale verificare immediatamente se nel proprio browser è installato uno dei seguenti componenti, identificati da BleepingComputer e LayerX con i relativi codici identificativi e il numero approssimativo di utenti colpiti:

Gemini AI Sidebar (fppbiomdkfbhgjjdmojlogeceejinadg) – 80.000 utenti

(fppbiomdkfbhgjjdmojlogeceejinadg) – 80.000 utenti AI Sidebar (gghdfkafnhfpaooiolhncejnlgglhkhe) – 70.000 utenti

(gghdfkafnhfpaooiolhncejnlgglhkhe) – 70.000 utenti AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp) – 60.000 utenti

(nlhpidbjmmffhoogcennoiopekbiglbp) – 60.000 utenti ChatGPT Translate (acaeafediijmccnjlokgcdiojiljfpbe) – 30.000 utenti

(acaeafediijmccnjlokgcdiojiljfpbe) – 30.000 utenti AI GPT (kblengdlefjpjkekanpoidgoghdngdgl) – 20.000 utenti

(kblengdlefjpjkekanpoidgoghdngdgl) – 20.000 utenti ChatGPT (llojfncgbabajmdglnkbhmiebiinohek) – 20.000 utenti

(llojfncgbabajmdglnkbhmiebiinohek) – 20.000 utenti AI Sidebar (djhjckkfgancelbmgcamjimgphaphjdl) – 10.000 utenti

(djhjckkfgancelbmgcamjimgphaphjdl) – 10.000 utenti Google Gemini (fdlagfnfaheppaigholhoojabfaapnhb) – 10.000 utenti

È bene notare che i nomi possono subire leggere variazioni, ma la struttura interna e le finalità illecite rimangono identiche per tutte le varianti coinvolte nella campagna.

Un’architettura ingannevole

L’analisi ha rivelato che tutte le estensioni condividono la stessa logica JavaScript e comunicano con un’unica infrastruttura backend facente capo al dominio “tapnetic.pro“.

Il metodo utilizzato per eludere i controlli di sicurezza è particolarmente insidioso. Questi add-on non implementano le funzionalità di intelligenza artificiale localmente. Al contrario, generano una finestra a schermo intero (iframe) che carica i contenuti direttamente dal dominio remoto controllato dagli attaccanti.

Questa strategia consente ai criminali informatici di modificare il comportamento dell’estensione in qualsiasi momento, aggiungendo funzioni malevole senza dover rilasciare un aggiornamento ufficiale che richiederebbe una nuova revisione da parte di Google.

La violazione della privacy su Gmail

L’aspetto più critico emerso dal report riguarda l’attività specifica su Gmail. Circa la metà delle estensioni censite include script dedicati che si attivano non appena l’utente accede alla propria casella di posta elettronica (mail.google.com).

Utilizzando librerie per l’estrazione del testo, il software è in grado di leggere e copiare il contenuto delle email visibili, incluse le bozze non ancora inviate. Quando l’utente richiede un riepilogo o una risposta assistita dall’IA, i dati vengono trasmessi ai server esterni, uscendo definitivamente dal perimetro di sicurezza dell’account Google.

In alcuni casi, sfruttando le API Web Speech, le estensioni possono persino attivare il microfono per trascrivere e inviare conversazioni ambientali.

Di fronte a tali evidenze, la raccomandazione è solo una: rimuovere immediatamente qualsiasi estensione presente nella lista o di dubbia provenienza e procedere al cambio delle password per tutti gli account sensibili utilizzati durante il periodo di infezione.