Кибератака поражает легитимные расширения Chrome, раскрывая конфиденциальные данные пользователей

Скоординированная кибератака привела к компрометации по меньшей мере пяти расширений Google Chrome, в которые был внедрен вредоносный код, предназначенный для кражи конфиденциальной информации пользователей. Об этом сообщает Bleeping Computer.

Нарушение было впервые раскрыто 24 декабря компанией Cyberhaven, занимающейся предотвращением утраты данных, которая предупредила своих клиентов после того, как фишинговая атака успешно нацелилась на учетную запись администратора Chrome Web Store.

Наша команда подтвердила факт вредоносной кибератаки, произошедшей в канун Рождества и затронувшей расширение Chrome от Cyberhaven. Вот наш пост об этом инциденте и о тех мерах, которые мы принимаем: https://t.co/VTBC73eWda

Наша служба безопасности доступна 24/7, чтобы помочь пострадавшим клиентам и…

— Cyberhaven (@CyberhavenInc) 27 декабря 2024

Bleeping Computer объясняет, что атака позволила хакеру захватить аккаунт администратора и опубликовать вредоносную версию расширения Cyberhaven. Эта версия содержала код, который мог украсть аутентифицированные сессии и куки, отправляя их на домен злоумышленника.

Среди клиентов Cyberhaven, пострадавших от взлома, крупные компании, такие как Snowflake, Motorola, Canon, Reddit и Kirkland & Ellis. Внутренняя служба безопасности Cyberhaven удалила вредоносное расширение в течение часа после обнаружения, как сообщает Bleeping Computer.

Cyberhaven связывает атаку с фишинговым электронным письмом, утверждая в отдельном техническом анализе, что код, по-видимому, был специально разработан для атаки на аккаунты Facebook Ads.

TechCrunch отмечает, что в Chrome Web Store примерно 400 000 корпоративных пользователей используют расширение Cyberhaven. Когда TechCrunch обратился с вопросом, Cyberhaven отказался раскрывать количество затронутых клиентов, которым было сообщено о нарушении.

В ответ на это была опубликована чистая версия расширения 26 декабря. Cyberhaven рекомендовал своим пользователям обновиться до этой последней версии и принять дополнительные меры предосторожности, такие как проверка обновления расширения до версии 24.10.5 или более новой.

Кроме того, Cyberhaven рекомендует отменить и изменить любые пароли, которые не используют FIDOv2, а также проверить журналы вашего браузера на наличие подозрительной активности.

Bleeping Computer отмечает, что инцидент затронул не только расширение Cyberhaven, дальнейшие исследования показали, что были затронуты и другие расширения Chrome. Исследователь из компании Nudge Security Хайме Бласко проследил истоки атаки, анализируя IP-адреса и домены злоумышленника.

Что касается компрометации расширения Cyberhaven для Chrome, у меня есть основания считать, что затронуты и другие расширения. Основываясь на IP-адресе, можно заметить, что в одно и то же время было создано больше доменов, которые указывают на тот же IP-адрес, что и cyberhavenext[.]pro (продолжение)

— Хайме Бласко (@jaimeblascob) 27 декабря 2024

Бласко подтвердил, что вредоносный код был внедрен в несколько расширений примерно в одно и то же время, как сообщает Bleeping Computer.

Среди них Internxt VPN, имеющий 10 000 пользователей, VPNCity — сервис VPN, ориентированный на конфиденциальность, с 50 000 пользователей, Uvoice — сервис на основе вознаграждений с 40 000 пользователей, и ParrotTalks — инструмент для ведения заметок с 40 000 пользователей.

Bleeping Computer сообщает, что хоть Бласко и определил дополнительные потенциальные жертвы, только расширения, перечисленные выше, подтверждено, содержат вредоносный код. Пользователям этих затронутых расширений настоятельно рекомендуется либо удалить их, либо убедиться, что они обновлены до безопасных версий, выпущенных после 26 декабря.

Тем, кто не уверен в безопасности своих расширений, рекомендуется удалить затронутые расширения, сбросить важные пароли, очистить данные браузера и восстановить настройки браузера до их исходных значений.