Atak cybernetyczny uderza w legalne rozszerzenia Chrome, ujawniając wrażliwe dane użytkowników

Skoordynowany atak cybernetyczny naruszył bezpieczeństwo co najmniej pięciu rozszerzeń Google Chrome, wstrzykując złośliwe kody mające na celu kradzież wrażliwych danych użytkowników, jak podaje Bleeping Computer.

Naruszenie zostało po raz pierwszy ujawnione 24 grudnia przez Cyberhaven, firmę zajmującą się prewencją utraty danych, która powiadomiła swoich klientów po tym, jak atak phishingowy skutecznie wymierzył w konto administratora Chrome Web Store.

Nasz zespół potwierdził złośliwy atak cybernetyczny, który miał miejsce w Wigilię Bożego Narodzenia, wpływając na rozszerzenie Chrome Cyberhaven. Oto nasz wpis na temat incydentu i kroków, które podejmujemy: https://t.co/VTBC73eWda

Nasz zespół ds. bezpieczeństwa jest dostępny 24/7, aby pomóc dotkniętym klientom i…

— Cyberhaven (@CyberhavenInc) 27 grudnia 2024

Bleeping Computer wyjaśnia, że atak umożliwił hakerowi przejęcie konta administratora i opublikowanie złośliwej wersji rozszerzenia Cyberhaven. Ta wersja zawierała kod, który mógł kradnąć uwierzytelnione sesje i ciasteczka, wysyłając je do domeny atakującego.

Wśród klientów Cyberhaven, którzy ucierpieli w wyniku naruszenia bezpieczeństwa, znajdują się takie duże firmy jak Snowflake, Motorola, Canon, Reddit oraz Kirkland & Ellis. Wewnętrzny zespół ds. bezpieczeństwa Cyberhaven usunął złośliwe rozszerzenie w ciągu godziny od wykrycia, jak donosi Bleeping Computer.

Cyberhaven przypisuje atak phishingowemu e-mailowi, stwierdzając w oddzielnej analizie technicznej, że kod wydaje się być specjalnie zaprojektowany do atakowania kont Facebook Ads.

TechCrunch zauważył, że Chrome Web Store wykazuje około 400 000 korporacyjnych użytkowników rozszerzenia Cyberhaven. Kiedy TechCrunch zapytał, Cyberhaven odmówiło ujawnienia liczby dotkniętych klientów, którym powiadomiło o naruszeniu.

W odpowiedzi, 26 grudnia opublikowano czystą wersję rozszerzenia. Cyberhaven doradził swoim użytkownikom, aby zaktualizowali do tej najnowszej wersji i podjęli dodatkowe środki ostrożności, takie jak sprawdzenie, czy rozszerzenie zostało zaktualizowane do wersji 24.10.5 lub nowszej.

Dodatkowo, Cyberhaven radzi unieważnić i zmienić wszystkie hasła, które nie korzystają z FIDOv2, a także przejrzeć logi przeglądarki pod kątem jakiejkolwiek podejrzanej aktywności.

Bleeping Computer zauważa, że incydent wykraczał poza rozszerzenie Cyberhaven, a dalsze śledztwa ujawniły, że kilka innych rozszerzeń Chrome również ucierpiało. Badacz z Nudge Security, Jaime Blasco, prześledził źródła ataku, analizując adresy IP i domeny napastnika.

W związku z kompromitacją rozszerzenia Cyberhaven dla przeglądarki Chrome, mam powody by sądzić, że inne rozszerzenia również zostały dotknięte. Analizując adresy IP, można zauważyć, że w tym samym przedziale czasowym utworzono więcej domen, które rozwiązują do tego samego adresu IP, co cyberhavenext[.]pro (cd.)

— Jaime Blasco (@jaimeblascob) 27 grudnia 2024

Blasco potwierdziła, że złośliwy fragment kodu został wstrzyknięty do kilku rozszerzeń mniej więcej w tym samym czasie, jak donosi Bleeping Computer.

Wśród nich znalazły się Internxt VPN, który ma 10 000 użytkowników, VPNCity – usługa VPN skoncentrowana na prywatności z 50 000 użytkowników, Uvoice – usługa z nagrodami dla 40 000 użytkowników, oraz ParrotTalks – narzędzie do robienia notatek dla 40 000 użytkowników.

Portal Bleeping Computer informuje, że choć Blasco zidentyfikował dodatkowe potencjalne ofiary, tylko wymienione powyżej rozszerzenia zostały potwierdzone jako zawierające złośliwy kod. Użytkownikom tych dotkniętych rozszerzeń zaleca się albo usunięcie ich, albo upewnienie się, że zaktualizowali je do bezpiecznej wersji wydanej po 26 grudnia.

Dla tych, którzy nie są pewni bezpieczeństwa swoich rozszerzeń, zaleca się odinstalowanie dotkniętych rozszerzeń, zresetowanie ważnych haseł, wyczyszczenie danych przeglądarki oraz przywrócenie ustawień przeglądarki do ich domyślnych wartości.