De advertentieblockextensies Nano Adblocker en Nano Defender bevatten malware. De originele ontwikkelaar verkocht de extensies recent en sinds een paar dagen gebruiken de nieuwe eigenaars deze om actieve Instagram-sessies over te nemen en daar likes mee uit te delen.
De malware lijkt voorlopig alleen in de twee Chrome-extensies te zitten. De Firefox-versie is nog schoon. Nano Adblocker en Defender waren in Chrome samen meer dan 300.000 keer gedownload. Onlangs maakte de ontwikkelaar bekend dat hij wegens tijdgebrek niet meer aan de code zou werken. Hij verkocht het project aan nieuwe ontwikkelaars. Wie dat waren maakte hij niet bekend. Inmiddels hebben andere ontwikkelaars ontdekt dat de extensies malware bevatten. Een van hen is Raymond Hill, die ook uBlock Origin ontwierp, waarop Nano Adblocker is gebaseerd.
De extensies controleren voortaan eerst of er een console in de browser is geopend, ontdekte Hill. Als iemand de code van de extensie dus probeert te ontleden verandert die zijn gedrag zodat het moeilijk is te ontdekken wat er precies gebeurt. Gebruikers van de extensie merken op dat hun Instagram-accounts honderden likes uitdelen aan willekeurige foto's van willekeurige accounts.
Het is niet helemaal duidelijk hoe de malware te werk gaat. Sommige gebruikers zeggen dat ze geen actieve Instagram-sessies open hadden staan in hun browser en dat de malware dus authenticatiecookies weet te stelen. Ook zijn er vermoedens dat de malware GitHub- en Outlook-sessies probeert te stelen, maar dat lijkt vooralsnog niet succesvol. Hill raadt aan dat gebruikers al hun actieve Instagram-sessies afsluiten, inclusief die op andere apparaten. De Nano-software is inmiddels uit de Chrome Store verwijderd.