Атаката по веригата за доставки, при която разширението за Chrome на фирмата за киберсигурност Cyberhaven беше компрометирано, за да открадне данните на потребителите, изглежда е част от по-широка кампания, при която през последната година и половина бяха атакувани поне 29 разширения.
В рамките на инцидента с Cyberhaven престъпен колектив е получил достъп до администраторския акаунт на компанията в Chrome Web Store и е публикувал нова версия на разширението, която е съдържала зловреден код.
Cyberhaven предлага платформа за откриване и реагиране на данни, предназначена да помогне на организациите да проследяват и защитават чувствителни данни и да се борят със заплахите от вътрешна употреба.
Атаката е открита на 25 декември, един ден след извършването ѝ, а зловредната версия на разширението е била достъпна за изтегляне малко повече от 24 часа, преди да бъде изтеглена и заменена с чиста версия.
През това време зловредната итерация на разширението е била разпространена сред потребителите, които са имали активирана функция за автоматично обновяване, което ги е изложило на риск от кражба на чувствителна информация.
Cyberhaven откри, че зловредният код краде токени за достъп до Facebook, потребителски идентификатори и информация за акаунти, като същевременно добавя слушател за кликване с мишката за Facebook.com.
Според основателя на Secure Annex Джон Тъкнър атаката изглежда е свързана с дълготрайна кампания, в която са компрометирани най-малко 29 разширения за Chrome, които потенциално засягат над 2,5 милиона потребители.
Преглеждайки индикаторите за компрометиране (IoC), Такнер открива, че три разширения са били компрометирани през 2023 г: Earny – Up to 20% Cash Back през април, Visual Effects for Google Meet през юни и Tackker – онлайн инструмент за кийлогър през октомври.
Злонамерени версии на десет други разширения се появиха през тази година, а броят на случаите скочи през декември, когато бяха компрометирани 16 разширения, включително Cyberhaven.
Според данните, анализирани от Tuckner, само през последната седмица са наблюдавани злонамерени версии на около дузина разширения, включително три през последните два дни: GraphQL Network Inspector, YesCaptcha assistant и Proxy SwitchyOmega (V3).
Някои от анализираните разширения изглежда са насочени към чувствителна информация в уебсайтове като 23andme, American Express, Bank of America, Zoom и други, обяснява Такнер.
Към днешна дата пет от идентифицираните злонамерени разширения са премахнати от уеб магазина на Chrome, а други осем са заменени с чисти версии, включват от Cyberhaven.
По-нататъшното разследване на Такнер и основателя и техническия директор на Adblock Plus Владимир Палант разкри, че кодът за събиране на данни в някои от разширенията не е резултат от компрометиране, а е включен от самите разработчици чрез SDK за монетизация.
Cyberhaven е набрала повече от 136 млн. долара и е била оценена на 488 млн. долара, когато компанията е набрала 88 млн. долара чрез кръг на финансиране от серия С през юни 2024 г.
