Socket, une société spécialisée dans la cybersécurité, a identifié 131 extensions malveillantes sur le Chrome Web Store. Ces outils détournent WhatsApp Web pour envoyer des messages en masse. Ils contournent les limitations de débit et les protections antispam de la messagerie depuis au moins neuf mois.
Le chercheur en sécurité Kirill Boychenko explique que le code malveillant est injecté directement dans la page WhatsApp Web. Il s'exécute aux côtés des scripts natifs de la messagerie pour automatiser l'envoi en masse et la planification de messages de manière à contourner les mécanismes antispam. Ces extensions cumuleraient plus de 20 000 utilisateurs actifs, dont 10 000 pour celle baptisée YouSeller. Elles partagent toutes la même base de code, les mêmes mécanismes et la même infrastructure.
Un modèle de franchise qui inonde le Chrome Web Store
La majorité de ces 131 extensions a été publiée par deux comptes développeur liés à "WL Extensão" et sa variante "WLExtensao". L'entreprise brésilienne DBX Tecnologia a en fait industrialisé cette affaire en proposant un programme de marque blanche. Socket révèle que DBX Tecnologia commercialise un programme de revendeur permettant à des partenaires de renommer et revendre son extension WhatsApp Web sous leur propre marque, promettant des revenus récurrents de 30 000 à 84 000 réals brésiliens (environ 5 500 à 15 400 euros) pour un investissement de 12 000 réals (environ 2 200 euros).
Ces extensions se présentent comme des outils de gestion de la relation client (CRM) pour WhatsApp. L'une de ces variantes, ZapVende, promet par exemple de "transformer votre WhatsApp en un puissant outil de vente et de gestion des contacts" avec un CRM intuitif, l'automatisation de messages, l'envoi en masse et un tunnel de vente visuel. Cette pratique viole directement la politique antispam du Chrome Web Store de Google, laquelle interdit aux développeurs et à leurs affiliés de soumettre plusieurs extensions offrant des fonctionnalités dupliquées.
Le spécialiste de la sécurité explique avoir observé une activité continue avec de nouveaux téléchargements et des mises à jour de versions jusqu'au 17 octobre 2025. DBX Tecnologia a même publié des vidéos YouTube expliquant comment contourner les algorithmes antispam de WhatsApp avec ces extensions. M. Boychenko précise que "le cluster consiste en copies quasi identiques réparties sur plusieurs comptes d'éditeurs. Il est commercialisé pour une diffusion massive non sollicitée et automatise l'envoi de messages à l'intérieur de web.whatsapp.com sans confirmation de l'utilisateur."
Socket a soumis des demandes de retrait à l'équipe Chrome de Google, ainsi que la suspension des comptes d'éditeur associés pour leur diffusion de spam. Pour l'heure, cette campagne cible principalement des internautes brésiliens.
Source : Socket.dev
