quicklens denen chrome eklentisi kripto çalmaya başlamış

Posted on 1 Mar 2026

arkadaşlar, chrome web store’da 300 bin kullanıcısı olan “quicklens - search screen with google lens” denen eklenti ele geçirilmiş ve kripto çalmaya başlamış. google zaten mağazadan kaldırmış ama siz de bir kontrol edin sisteminizde var mı diye.

olay ne tam olarak

quicklens denen eklenti normalde ekran görüntüsü alıp google lens ile arama yapan masum bir şeymiş. ama 2026 şubat ayında birisi ele geçirmiş eklentiyi ve kötü amaçlı kod enjekte etmiş.

spoiler: bu eklenti kurulu olan herkes risk altında, hemen kaldırın.

şimdi bu eklenti ne yapıyormuş bakalım:

  • kripto cüzdan bilgilerini çalmaya çalışıyor: metamask, phantom gibi cüzdan eklentilerinizin bilgilerini toplamaya çalışıyor
  • clickfix saldırısı yapıyor: yani sahte hata mesajları gösterip sizi “düzeltme” adı altında kötü amaçlı komutlar çalıştırmaya yönlendiriyor
  • oturum çerezlerinizi çalıyor: browser’daki aktif oturumlarınızı ele geçirmeye çalışıyor
  • sahte güncellemeler gösteriyor: “windows defender güncelleme yapın” gibi sahte bildirimlerle malware indirtmeye çalışıyor

clickfix saldırısı nedir bu

agalar, clickfix denen şey şöyle çalışıyor:

  1. sahte bir hata mesajı gösteriyorlar size (genelde “video oynatılamıyor” veya “güvenlik güncellemesi gerekli” tarzı)
  2. “düzeltmek için bu kodu çalıştırın” diyorlar
  3. size powershell veya cmd komutu veriyorlar kopyala-yapıştır diye
  4. siz de yapıştırınca malware indiriliyor sisteme

yani kısacası: hiçbir zaman bilinmeyen kaynaklardan gelen komutları çalıştırmayın.

etkilenen sistemler

PlatformDurum
Chrome (QuickLens yüklü)🔴 Kritik risk
Edge (QuickLens yüklü)🔴 Kritik risk
Kripto cüzdan eklentileri🔴 Hedef
Diğer tarayıcılar✅ Etkilenmiyor

hemen yapmanız gerekenler

1. eklentiyi kontrol edin ve kaldırın

# chrome'da şu adrese gidin:
chrome://extensions/

# "QuickLens - Search Screen with Google Lens" varsa hemen kaldırın
# veya şüpheli görünen diğer eklentileri de inceleyin

2. kripto cüzdanlarınızı kontrol edin

eğer bu eklenti sizde varsa:

  • hemen cüzdanlarınızı yeni cihazda geri yükleyin (seed phrase ile)
  • fonlarınızı yeni cüzdana taşıyın
  • eski cüzdanı kullanmayı bırakın
  • dikkat: hızlı hareket edin, saldırganlar beklemez

3. tarayıcı verilerinizi temizleyin

# chrome ayarlar > gizlilik ve güvenlik > tarama verilerini temizle
# şunları seçin:
# - çerezler ve site verileri
# - önbelleğe alınmış resimler ve dosyalar
# - oturum açma bilgileri (sonra tekrar giriş yaparsınız)

4. şifrelerinizi değiştirin

özellikle şunları:

  • kripto borsası hesapları (binance, coinbase vs.)
  • e-posta hesapları
  • sosyal medya hesapları
  • önemli servislerdeki oturumlarınız

5. sisteminizi tarayın

# windows defender tam tarama yapın
# veya malwarebytes gibi bir araç kullanın

# windows defender için:
Start-MpScan -ScanType FullScan

# sonuçları kontrol edin:
Get-MpThreatDetection

nasıl korunursunuz bundan sonra

  1. eklenti yüklerken dikkatli olun:

    • kaç kullanıcısı var bakın (az kullanıcılı eklentilerden uzak durun)
    • yorumları okuyun
    • son güncelleme tarihine bakın
    • gereksiz izinler istiyorsa kurmayın

  2. düzenli kontrol yapın:

    # ayda bir chrome://extensions/ adresine girin
# kullanmadığınız eklentileri kaldırın

  3. clickfix saldırılarına karşı:

    • hiçbir zaman web sitesinden kopyalanan komutları çalıştırmayın
    • “video izlemek için bu kodu çalıştırın” diyorsa kaçın
    • powershell/cmd komutlarını güvenilir kaynaklardan alın

  4. kripto güvenliği:

    • hardware wallet kullanın mümkünse (ledger, trezor)
    • büyük miktarları hot wallet’ta tutmayın
    • 2fa’yı her yerde aktif edin

teknik detaylar

saldırganlar muhtemelen şu yöntemlerden birini kullanmış:

  • developer hesabını ele geçirme: eklenti geliştiricisinin hesabını phishing veya credential stuffing ile almış olabilirler
  • supply chain attack: geliştirme sürecine müdahale etmiş olabilirler
  • kötü amaçlı güncelleme: normal bir güncelleme gibi gösterip zararlı kodu eklemişler

eklenti şu izinleri istiyormuş:

  • activeTab: aktif sekmeye erişim
  • storage: veri saklama
  • clipboardWrite: panoya yazma
  • webRequest: ağ isteklerini izleme

edit: bu izinler kombinasyonu çok tehlikeli, clipboard’a yazarak clickfix saldırısı yapabiliyorlar.

bu olay bize ne öğretiyor

agalar, browser eklentileri ciddi güvenlik riski. şunları aklınızda tutun:

  1. minimum eklenti prensibi: sadece gerçekten ihtiyacınız olanları kurun
  2. düzenli temizlik: kullanmadığınız eklentileri kaldırın
  3. izinleri inceleyin: eklenti ne istiyor, neden istiyor?
  4. kripto işlemlerinde ekstra dikkat: kripto cüzdanı varsa eklenti yüklemeden önce iki kere düşünün

spoiler: chrome web store’daki onay süreci bile yeterli değil, kendi güvenliğinizi kendiniz sağlayacaksınız.

kaynaklar

özet: quicklens denen chrome eklentisi ele geçirilmiş ve kripto çalmaya başlamış. 300 bin kullanıcı etkilenmiş. hemen kontrol edin sisteminizde var mı, varsa kaldırın ve cüzdanlarınızı güvenli hale getirin. clickfix saldırılarına karşı da uyanık olun, hiçbir zaman bilinmeyen kaynaklardan komut çalıştırmayın.

bkz: chrome eklenti güvenliği, clickfix saldırıları, kripto cüzdan güvenliği

Bu içerik yapay zeka tarafından oluşturulmuştur.