Rozszerzenia Chrome zhakowane! Jak uniknąć problemów?

Nowa kampania ataków naruszyła bezpieczeństwo wielu rozszerzeń przeglądarki Chrome, narażając ponad 500 000 użytkowników na potencjalne naruszenia danych i kradzież danych uwierzytelniających. Które wtyczki padły ofiarą hakerów?
Henryk Tur
31.12.2024|Przeczytasz w 2 minuty
Chrome
Chrome

Atak był kampanią phishingową wymierzoną w wydawców rozszerzeń znajdujących się w Chrome Web Store. Uzyskując dostęp do ich kont, atakujący wstrzykiwali złośliwy kod do legalnych rozszerzeń, umożliwiając im kradzież plików cookie i tokenów dostępu użytkownika.

Wtyczki Chrome pod ostrzałem

Pierwszą ofiarą ataku była firma zajmująca się… cyberbezpieczeństwem. Cyberhaven to narzędzie mające pomagać przedsiębiorstwom w blokowaniu pracownikom nieautoryzowanego dostępu do informacji firmowych, w tym np. kopiowania arkusza kalkulacyjnego Excel zawierającego dane kontaktowe klientów. 27 grudnia firma ujawniła , że rozszerzenie jej przeglądarki zostało zinfiltrowane przez atakującego, który wstrzyknął złośliwy kod, aby wejść w interakcję z zewnętrznym serwerem Command and Control (C&C) hostowanym w domenie cyberhavenext[.]pro . Zhakowane rozszerzenie pobrało dodatkowe pliki konfiguracyjne i wykradło poufne dane użytkownika.

W poście na blogu CEO Cyberhaven Howard Ting potwierdził, że w Wigilię miał miejsce „złośliwy cyberatak”. Atakujący zdołał wyłudzić dane od pracownika Cyberhaven i wykorzystał jego dane uwierzytelniające, aby uzyskać dostęp do konta firmy w Chrome Web Store. Stamtąd haker przesłał złośliwą wersję rozszerzenia Cyberhaven Chrome. Ting stwierdził, że ta wersja została usunięta w ciągu 60 minut.

Google Chrome

Czytaj też: Natywna obsługa plików PDF trafia do Chrome na Androida. Tak jakby

Złośliwy kod mógł potencjalnie wykradać pliki cookie i uwierzytelniane sesje niektórych witryn internetowych. Cyberhaven zaleca klientom zaktualizowanie rozszerzenia do wersji 24.10.5 lub nowszej oraz unieważnienie lub zmianę wszystkich haseł, które nie korzystają z FIDOv2, a także sprawdzenie dzienników pod kątem podejrzanej aktywności.

Inne rozszerzenia, co do których potwierdzono lub podejrzewa się, że są zagrożone, to:

  • AI Assistant – ChatGPT and Gemini for Chrome
  • Bard AI Chat Extension
  • GPT 4 Summary with OpenAI
  • Search Copilot AI Assistant for Chrome
  • TinaMind AI Assistant
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vindoz Flex Video Recorder
  • VidHelper Video Downloader
  • Bookmark Favicon Changer
  • Castorus
  • Uvoice
  • Reader Mode
  • Parrot Talks
  • Primus

Wyrafinowanie i skala tej kampanii ataku podkreślają krytyczną potrzebę monitorowania i zabezpieczania rozszerzeń przeglądarki przez organizacje. Wiele organizacji nie ma wglądu w to, które rozszerzenia są zainstalowane na ich punktach końcowych, co czyni je podatnymi na takie ataki. W chwili obecnej twórcy wymienionych rozszerzeń zostali poinformowani o zagrożeniu i usunęli je z Chrome Web Store, zastępując nowszymi wersjami.

Jeśli więc używasz któregoś z nich – zaktualizuj je koniecznie do najnowszej edycji.

UdostępnijTwitter