Arkadiusz OgończykHakerzy zdołali zmodyfikować kilka rozszerzeń Chrome, umieszczając w nich złośliwy kod po uzyskaniu dostępu do kont administratorów poprzez kampanię phishingową.
Firma Cyberhaven, zajmująca się cyberbezpieczeństwem, poinformowała na swoim blogu, że jej rozszerzenie do Chrome zostało zainfekowane 24 grudnia w ataku, który wydawał się „celować w loginy do konkretnych platform reklamowych w mediach społecznościowych i platform AI”. Według Reutersa, inne zaatakowane rozszerzenia to m.in. ParrotTalks, Uvoice i VPNCity.
Cyberhaven powiadomiło o tym swoich klientów 26 grudnia. Firma zaleciła użytkownikom natychmiastową zmianę haseł oraz innych poświadczeń. Wstępne dochodzenie wykazało, że złośliwe rozszerzenie skierowane było głównie do użytkowników Facebook Ads. Celem ataku było wykradanie danych, takich jak tokeny dostępu, identyfikatory użytkowników i inne informacje o kontach, a także plików cookies. Kod wprowadzał również nasłuch kliknięć myszy, co mogło pomóc hakerom w obejściu uwierzytelniania dwuskładnikowego (2FA).
Cyberhaven wykryło naruszenie 25 grudnia i usunęło złośliwą wersję rozszerzenia w ciągu godziny. Firma szybko wdrożyła czystą wersję rozszerzenia, zapewniając użytkowników o podjęciu odpowiednich środków bezpieczeństwa. Jest to jednak przykład zuchwałego i skutecznego działania hakerów – skoro udało im się złamać program firmy odpowiadającej za bezpieczeństwo to znaczy, że wiele innych aplikacji też jest w ciągłym zagrożeniu.
Jacek Winkler