Chrome tarayıcı uzantılarını hedef alan karmaşık bir tedarik zinciri saldırısı, en az 35 Chrome uzantısını tehlikeye attı ve potansiyel olarak 2,6 milyondan fazla kullanıcıyı veri hırsızlığına ve kimlik bilgilerinin toplanmasına maruz bıraktı.
Aralık 2024’ün ortasında başlayan kampanya, hedefli bir kimlik avı operasyonu yoluyla uzantı geliştiricilerinden yararlanarak tehdit aktörlerinin meşru uzantılara kötü amaçlı kod yerleştirmesine olanak tanıdı.
Saldırı zinciri, Google Chrome Web Mağazası desteğinin kimliğine bürünerek Chrome uzantı geliştiricilerine gönderilen kimlik avı e-postalarıyla başladı.
.webp)
Bu e-postalar, geliştiricinin uzantısının mağaza politikalarını ihlal ettiğini ve kaldırılma riskiyle karşı karşıya olduğunu iddia ediyordu.
.webp)
Sekoia’daki güvenlik uzmanları, gömülü bağlantıya tıklamanın kurbanları “Gizlilik Politikası Uzantısı” adlı kötü amaçlı bir uygulama için meşru bir Google OAuth yetkilendirme sayfasına yönlendirdiğini belirtti.
Yetkilendirildikten sonra tehdit aktörleri, hedeflenen uzantıların yeni sürümlerini yayınlamak için tam erişim elde etti.
Daha sonra iki kötü amaçlı JavaScript dosyası içeren değiştirilmiş sürümleri yüklediler: arka plan.js ve context_responder.js. Bu komut dosyaları, yapılandırmaları indirmek ve hassas kullanıcı verilerini sızdırmak için komuta ve kontrol (C2) sunucularıyla iletişim kurar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Tedarik Zinciri Saldırısı ve Düşmanın Altyapısı
Enjekte edilen kod öncelikle Facebook Business kullanıcılarını hedef alarak API anahtarlarını, oturum çerezlerini, erişim belirteçlerini, hesap bilgilerini ve reklam hesabı ayrıntılarını topladı. Ayrıca bazı varyantlar, OpenAI ChatGPT API anahtarlarını ve kullanıcı kimlik doğrulama verilerini çalmaya çalıştı.
.webp)
Siber güvenlik firması Cyberhaven, 26 Aralık 2024’te bu ihlali ilk tespit edenler arasında yer aldı. Araştırmaları, saldırganın altyapısının en az Mart 2024’ten bu yana aktif olduğunu ortaya çıkardı; bu da daha önceki kampanyaların gözden kaçmış olabileceğini düşündürüyor.
Güvenliği ihlal edilen dikkate değer uzantılar şunları içerir: –
- GraphQL Ağ Denetleyicisi
- Proxy SwitchyOmega (V3)
- EvetCaptcha asistanı
- Kastorus
- VidHelper – Video İndirme Yardımcısı
- Internxt VPN’i
- Vidnoz Flex
- Yapay Zekanın Yolu
- Okuyucu Modu
- İlk (önceki PADO)
- TinaZihin
- VPNŞehir
- Ses
- Papağan Konuşmaları
- Favori Simgesi Değiştirici
- Siber cennet
Tehdit aktörleri, C2 iletişimi için çoğu iki IP adresine çözümlenen bir etki alanları ağı kullandı: 149.28.124[.]84 ve 45.76.225[.]148. Ayrıca 149.248.2 kişiyi istihdam ettiler[.]Veri sızması için 160.
Potansiyel tehlikeyi belirlemek için kullanıcılar, Chrome yerel depolama alanlarında “graphqlnetwork_ext_manage” gibi anahtarlar veya indirilen yapılandırmaları içeren uzantıya özgü benzer anahtarlar olup olmadığını kontrol edebilir.
.webp)
Bunun bir sonucu olarak kuruluşların, tarayıcı uzantısı kullanımına ilişkin politikalarını dikkatli bir şekilde gözden geçirmesi ve olası tehditleri azaltmak için sıkı kontroller uygulaması gerekir.
Kullanıcılar için önerilen işlemler:-
- Etkilenen uzantıları kaldırın veya 26 Aralık 2024’ten sonra yayımlanan sürümlere güncelleyin.
- Özellikle Facebook ve ChatGPT için önemli hesap şifrelerini sıfırlayın.
- Tarayıcı verilerini temizleyin ve ayarları varsayılanlara sıfırlayın.
- Herhangi bir şüpheli davranışa karşı hesap etkinliğini izleyin.
Uzantı geliştiricileri için: –
- Geliştirici hesapları için güçlü, çok faktörlü kimlik doğrulamayı uygulayın.
- Tüm OAuth uygulama erişim isteklerini dikkatlice inceleyin.
- Yetkisiz değişikliklere karşı uzantı kodunu düzenli olarak denetleyin.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri