Bir tehdit aktörünün kullanıcılardan hassas bilgileri çalan kodu enjekte ettiği koordineli bir saldırıda en az beş Chrome uzantısının güvenliği ihlal edildi.
Bir saldırı, Google Chrome mağazasının yönetici hesabına yapılan başarılı bir kimlik avı saldırısının ardından 24 Aralık’ta müşterilerini bir ihlal konusunda uyaran veri kaybını önleme şirketi Cyberhaven tarafından açıklandı.
Cyberhaven’ın müşterileri arasında Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart ve Kirkland & Ellis yer alıyor.
Bilgisayar korsanı, çalışanın hesabını ele geçirdi ve Cyberhaven uzantısının kötü amaçlı bir sürümünü (24.10.4) yayınladı; bu sürüm, kimliği doğrulanmış oturumları ve çerezleri saldırganın etki alanına sızdırabilecek kodlar içeriyordu (cyberhavenext)[.]profesyonel).
Şirket, müşterilerine gönderdiği bir e-postada, Cyberhaven’in iç güvenlik ekibinin kötü amaçlı paketi tespit edilmesinden bu yana bir saat içinde kaldırdığını söyledi.
Uzantının temiz bir sürümü olan v24.10.5, 26 Aralık’ta yayınlandı. En son sürüme yükseltmenin yanı sıra, Cyberhaven Chrome uzantısı kullanıcılarının FIDOv2 olmayan şifreleri iptal etmeleri, tüm API belirteçlerini döndürmeleri ve tarayıcı günlüklerini incelemeleri önerilir. Kötü amaçlı etkinliği değerlendirmek için.
Daha fazla Chrome uzantısı ihlal edildi
Cyberhaven’ın açıklamasının ardından Nudge Security araştırmacısı Jaime Blasco, saldırganın IP adreslerinden ve kayıtlı etki alanlarından yola çıkarak soruşturmayı daha da ileri götürdü.
Blasco’ya göre, uzantının saldırgandan komut almasına olanak tanıyan kötü amaçlı kod pasajı, diğer Chrome uzantılarına da hemen hemen aynı zamanlarda enjekte edildi:
- Internxt VPN’i – Güvenli tarama için ücretsiz, şifreli, sınırsız VPN. (10.000 kullanıcı)
- VPNŞehir – AES 256 bit şifreleme ve global sunucu kapsamına sahip gizlilik odaklı VPN. (50.000 kullanıcı)
- Ses – Anketler yoluyla puan kazanmaya ve bilgisayar kullanım verilerini sağlamaya yönelik ödül tabanlı hizmet. (40.000 kullanıcı)
- Papağan Konuşmaları – Metin ve kesintisiz not alma konusunda uzmanlaşmış bilgi arama aracı. (40.000 kullanıcı)
Blasco, diğer potansiyel kurbanlara işaret eden daha fazla alan adı buldu ancak yalnızca yukarıdaki uzantıların kötü amaçlı kod pasajını taşıdığı doğrulandı.
Bu uzantıların kullanıcılarının, bunları tarayıcıdan kaldırmaları veya yayıncının güvenlik sorununu öğrenip düzelttiğinden emin olduktan sonra 26 Aralık’tan sonra yayınlanan güvenli bir sürüme yükseltmeleri önerilir.
Emin değilseniz uzantıyı kaldırmak, önemli hesap şifrelerini sıfırlamak, tarayıcı verilerini temizlemek ve tarayıcı ayarlarını orijinal varsayılan değerlerine sıfırlamak daha iyi olacaktır.