Rozszerzenie zabezpieczające Chromea ​​zhakowane w celu kradzieży danych użytkownika

Co najmniej pięć rozszerzeń przeglądarki Chrome zostało naruszonych w wyniku skoordynowanego ataku, podczas którego atakujący skutecznie wstrzyknął kod kradnący poufne informacje użytkowników.

Informację tę podają eksperci ds. cyberbezpieczeństwa z Cyberhaven. Amerykańska firma zajmująca się bezpieczeństwem danych ostrzegła swoich klientów o naruszeniu, do którego doszło 24 grudnia. Było to następstwem udanej kampanii phishingowej skierowanej na konto administratora firmy w sklepie Google Chrome Store.

Do grona klientów Cyberhaven należą m.in. takie popularne marki, jak Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart i Kirkland & Ellis.

Hakerzy przejęli konta pracowników i wypuścili złośliwą wersję (24.10.4) rozszerzenia Cyberhaven, która zawierała kod umożliwiający kradzież uwierzytelnionych sesji i plików cookie z domeny atakującego (cyberhavenext[.]pro).

Jak poinformowała firma w wiadomości e-mail wysłanej do klientów, wewnętrzny zespół ds. bezpieczeństwa Cyberhaven usunął pakiet złośliwego oprogramowania w ciągu godziny od jego wykrycia.

Czysta wersja rozszerzenia to v24.10.5, która została wydana 26 grudnia. Oprócz uaktualnienia do najnowszej wersji, użytkownikom rozszerzenia Cyberhaven Chrome zaleca się unieważnienie haseł innych niż FIDOv2, zmianę wszystkich tokenów API i sprawdzenie dzienników przeglądarki w celu oceny pod kątem złośliwej aktywności.

Wiele rozszerzeń Chrome zostało zhakowanych

Po ujawnieniu informacji przez Cyberhaven, badacz Nudge Security, Jaime Blasco, przeprowadził dokładniejsze dochodzenie, przekierowując ruch z adresu IP atakującego i zarejestrowanej nazwy domeny.

Według Blasco złośliwy kod, który umożliwiał rozszerzeniu otrzymywanie poleceń od atakującego, został w tym samym czasie wstrzyknięty także do innych rozszerzeń przeglądarki Chrome:

• Internxt VPN – Darmowa, szyfrowana, nieograniczona sieć VPN do bezpiecznego przeglądania stron internetowych. (10 000 użytkowników)
• VPNCity – VPN nastawiony na prywatność z 256-bitowym szyfrowaniem AES i globalnym zasięgiem serwerów. (50 000 użytkowników)
• Uvoice – usługa oparta na nagrodach, umożliwiająca zdobywanie punktów za wypełnianie ankiet i udostępnianie danych o korzystaniu z komputera. (40 000 użytkowników)
• ParrotTalks – wyszukiwarka informacji specjalizująca się w płynnym tworzeniu tekstu i notatek. (40 000 użytkowników)
• Blasco znalazł wiele domen wskazujących na kilka innych potencjalnych ofiar, ale jak dotąd potwierdzono, że tylko powyższe rozszerzenia zawierają złośliwy kod.

Użytkownikom tych rozszerzeń zaleca się natychmiastowe usunięcie ich ze swoich przeglądarek lub zaktualizowanie ich do bezpiecznej wersji wydanej po 26 grudnia, po upewnieniu się, że wydawca jest świadomy problemu bezpieczeństwa i go rozwiązał.

Jeśli nie masz pewności, najlepiej odinstalować rozszerzenie, zresetować ważne hasła kont, wyczyścić dane przeglądarki i przywrócić ustawienia fabryczne przeglądarki.