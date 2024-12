Atak był kampanią phishingową wymierzoną w wydawców rozszerzeń znajdujących się w Chrome Web Store. Uzyskując dostęp do ich kont, atakujący wstrzykiwali złośliwy kod do legalnych rozszerzeń, umożliwiając im kradzież plików cookie i tokenów dostępu użytkownika.

Wtyczki Chrome pod ostrzałem

Pierwszą ofiarą ataku była firma zajmująca się… cyberbezpieczeństwem. Cyberhaven to narzędzie mające pomagać przedsiębiorstwom w blokowaniu pracownikom nieautoryzowanego dostępu do informacji firmowych, w tym np. kopiowania arkusza kalkulacyjnego Excel zawierającego dane kontaktowe klientów. 27 grudnia firma ujawniła , że rozszerzenie jej przeglądarki zostało zinfiltrowane przez atakującego, który wstrzyknął złośliwy kod, aby wejść w interakcję z zewnętrznym serwerem Command and Control (C&C) hostowanym w domenie cyberhavenext[.]pro . Zhakowane rozszerzenie pobrało dodatkowe pliki konfiguracyjne i wykradło poufne dane użytkownika.

W poście na blogu CEO Cyberhaven Howard Ting potwierdził, że w Wigilię miał miejsce „złośliwy cyberatak”. Atakujący zdołał wyłudzić dane od pracownika Cyberhaven i wykorzystał jego dane uwierzytelniające, aby uzyskać dostęp do konta firmy w Chrome Web Store. Stamtąd haker przesłał złośliwą wersję rozszerzenia Cyberhaven Chrome. Ting stwierdził, że ta wersja została usunięta w ciągu 60 minut.

Złośliwy kod mógł potencjalnie wykradać pliki cookie i uwierzytelniane sesje niektórych witryn internetowych. Cyberhaven zaleca klientom zaktualizowanie rozszerzenia do wersji 24.10.5 lub nowszej oraz unieważnienie lub zmianę wszystkich haseł, które nie korzystają z FIDOv2, a także sprawdzenie dzienników pod kątem podejrzanej aktywności.

Inne rozszerzenia, co do których potwierdzono lub podejrzewa się, że są zagrożone, to:

AI Assistant – ChatGPT and Gemini for Chrome

Bard AI Chat Extension

GPT 4 Summary with OpenAI

Search Copilot AI Assistant for Chrome

TinaMind AI Assistant

Wayin AI

VPNCity

Internxt VPN

Vindoz Flex Video Recorder

VidHelper Video Downloader

Bookmark Favicon Changer

Castorus

Uvoice

Reader Mode

Parrot Talks

Primus

Wyrafinowanie i skala tej kampanii ataku podkreślają krytyczną potrzebę monitorowania i zabezpieczania rozszerzeń przeglądarki przez organizacje. Wiele organizacji nie ma wglądu w to, które rozszerzenia są zainstalowane na ich punktach końcowych, co czyni je podatnymi na takie ataki. W chwili obecnej twórcy wymienionych rozszerzeń zostali poinformowani o zagrożeniu i usunęli je z Chrome Web Store, zastępując nowszymi wersjami.

Jeśli więc używasz któregoś z nich – zaktualizuj je koniecznie do najnowszej edycji.