Chrome tarayıcı uzantılarını hedef alan karmaşık bir tedarik zinciri saldırısı gün yüzüne çıktı ve potansiyel olarak yüz binlerce kullanıcının güvenliğini tehlikeye attı.
Aralık 2024’te gerçekleştirilen saldırı, uzantı geliştiricilerini hedef alan kimlik avı kampanyalarını ve meşru Chrome uzantılarına kötü amaçlı kodların yerleştirilmesini içeriyordu.
ChatGPT ve Facebook for Business gibi hizmetlerden API anahtarları, oturum çerezleri ve kimlik doğrulama belirteçleri de dahil olmak üzere hassas kullanıcı verileri sızdırıldı.
Soruşturmalar, tehdit aktörünün en az 2023’ten beri aktif olduğunu ve 2024 sonlarında taktiklerini sahte uzantılar dağıtmaktan, kimlik avı ve kötü amaçlı OAuth uygulamaları yoluyla meşru uzantıları tehlikeye atmaya kaydırdığını ortaya çıkardı.
Geliştiricileri Hedefleyen Kimlik Avı Kampanyası
Saldırganlar, Chrome uzantısı geliştiricilerine karşı hedefli bir kimlik avı kampanyası başlattı.
Hedef odaklı kimlik avı e-postaları, Chrome Web Mağazası’ndan gelen resmi bildirimler olarak görünecek şekilde tasarlandı ve geliştiricileri “Gizlilik Politikası Uzantıları” adlı kötü amaçlı bir OAuth uygulamasına erişim yetkisi vermeye teşvik etti.
Bu e-postalar aşağıdaki gibi alanlardan gönderildi: chromeforextension[.]com Ve,supportchromestore[.]com meşru Google hizmetlerini taklit eden.
Geliştiriciler, kötü amaçlı OAuth uygulamasına izin verdikten sonra saldırganlar, uzantıların kontrolünü ele geçirdi.
Bu, kötü amaçlı kod içeren, güvenliği ihlal edilmiş sürümleri Chrome Web Mağazası’na yüklemelerine olanak tanıdı.
Kimlik avı e-postaları, kurbanları düşman kontrolündeki alanlara yönlendirdi (ör. checkpolicy[.]site), bu da sonunda kimlik bilgilerinin toplanması için meşru Google giriş sayfalarına yol açtı.
Güvenliği Tehlikeye Giren Uzantılar ve Kötü Amaçlı Kod
Bu kampanya sırasında aralarında Proxy SwitchyOmega, GraphQL Network Inspector ve VidHelper Video Download Helper gibi popüler araçların da bulunduğu yaklaşık 15 Chrome uzantısının güvenliği ihlal edildi.
Bu uzantılara enjekte edilen kötü amaçlı kod iki ana komut dosyasından oluşuyordu:
background.js: API anahtarları ve kimlik doğrulama belirteçleri gibi hassas verileri dışarı çıkarmak için arka planda çalıştırılır. Yapılandırma dosyalarını komuta ve kontrol (C2) sunucularından aldı ve ChatGPT ve Facebook Business gibi belirli platformları hedef aldı.context_responder.js: Tarayıcı URL’leriyle etkileşim kurmak ve C2 sunucularında barındırılan yapılandırma dosyalarında belirtilen kalıplara göre kimlik bilgilerini toplamak için ziyaret edilen tüm web sayfalarına enjekte edilir.
Sekoia’ya göre saldırganlar, Namecheap aracılığıyla kaydedilen ve AS20473 (VULTR) üzerinde barındırılan birden fazla alan adını içeren iyi koordine edilmiş bir altyapı kullandı.
Kimlik avı alanları chromeforextension[.]İlk erişim için com kullanılırken, graphqlnetwork gibi C2 sunucuları kullanıldı.[.]pro tarafından barındırılan yapılandırma dosyaları ve kötü amaçlı komut dosyaları tarafından kullanıldı.
Veri hırsızlığı, şu adreste barındırılan alt alanlar aracılığıyla gerçekleşti:149.248.2[.]160 MySQL veritabanının büyük olasılıkla toplanan verileri depoladığı yer.
Altyapı ayrıca, en az Aralık 2023’ten bu yana SEO zehirlenmesi veya kötü amaçlı reklam yoluyla dağıtılan sahte Chrome uzantılarını içeren önceki kampanyalarla bağlantılı alanları da içeriyordu.
Bu tedarik zinciri saldırısı, özellikle ChatGPT ve Facebook Business gibi hassas platformlar hedeflendiğinde, güvenliği ihlal edilmiş tarayıcı uzantılarının oluşturduğu önemli risklerin altını çiziyor.
Saldırganın sahte uzantılar dağıtmaktan yasal uzantıları tehlikeye atmaya geçişi, siber suçlarda gelişen taktiklerin bir göstergesidir.
Kuruluşlar ve bireysel kullanıcılar, bu tür tehditleri azaltmak için kimlik avı kampanyalarına karşı dikkatli olunması ve tarayıcı etkinliğinin proaktif olarak izlenmesi de dahil olmak üzere güçlü güvenlik uygulamaları benimsemelidir.
Bu olay, yazılım tedarik zincirlerinin doğasında bulunan güvenlik açıklarını ve geliştirici ekosistemlerini hedefli saldırılara karşı korumanın önemini net bir şekilde hatırlatıyor.