Злонамерени версии на Cyberhaven и други разширения за Chrome бяха публикувани в уеб магазина на Google Chrome като част от верижна атака, която вероятно е насочена към потребителите на Facebook за реклама.

Разширението на фирмата за сигурност на данните Cyberhaven е било компрометирано, след като служител е станал жертва на фишинг атака и е оторизирал злонамерено OAuth приложение, наречено „Privacy Policy Extension“, в акаунта на Cyberhaven в Chrome Web Store.

Предполагайки, че идва от Chrome Web Store, фишинг съобщението е изпратено на регистрираната електронна поща за поддръжка, като в него се твърди, че описанието на разширението съдържа прекомерни ключови думи и че то ще бъде премахнато от магазина.

След като кликнал върху връзката в съобщението, служителят бил преведен през стандартния процес на оторизация в Google и по невнимание дал на злонамереното приложение от трета страна разрешения за достъп до акаунта на разработчика.

„Служителят е имал активирана разширена защита на Google и е покривал акаунта си с MFA. Служителят не е получил подкана за MFA. Удостоверителните данни на служителя в Google не са били компрометирани“, обяснява Cyberhaven.

След това нападателите са използвали тези разрешения, за да публикуват злонамерена версия на разширението в уеб магазина на Chrome, която е била достъпна за изтегляне в продължение на повече от 24 часа между 25 и 26 декември.

Зловредната версия, а именно 24.10.4, е била премахната от магазина веднага след откриването на атаката и е заменена с версия 24.10.5, която е чиста.

Макар да е била включена в списъка на Chrome Web Store, зловредната итерация е била разпространена сред потребителите, които са имали активирана функция за автоматично обновяване.

„Нашето разследване потвърди, че не са били компрометирани други системи на Cyberhaven, включително нашите CI/CD процеси и ключове за подписване на код“, казва Cyberhaven.

Изглежда, че злонамереното разширение е било насочено към рекламни потребители на Facebook.com, като е събирало и ексфилтрирало токени за достъп, потребителски идентификатори, информация за акаунти чрез Facebook API, бизнес акаунти и информация за рекламни акаунти.

Освен това злонамереният код е добавил слушател за кликване с мишката за Facebook.com, така че да извлича всички изображения, когато потребителят кликне върху съответната страница. Въз основа на начина, по който е обработвал извлечените изображения, кодът вероятно е търсил QR кодове, за да заобиколи captchas и/или 2FA заявки за оторизация, казва Cyberhaven.

Cyberhaven е набрала повече от 136 млн. долара и е оценена на 488 млн. долара, когато през юни 2024 г. компанията набра 88 млн. долара чрез кръг на финансиране от серия С.

В публикация в LinkedIn съоснователят и главен технически директор на Nudge Security Хайме Бласко отбелязва, че са били компрометирани и други разширения за Chrome и че за кратко време извършителят е създал множество измамни домейни, всички от които са били хоствани на един и същ IP адрес. Бяха идентифицирани поне пет други компрометирани разширения за Chrome, включително Internxt VPN, VPNCity, Uvoice и ParrotTalks.