Secondo diversi fornitori di sicurezza informatica, decine di estensioni di Google Chrome sono state compromesse in una massiccia campagna.
È stato il 27 dicembre 2024 che l’editore di soluzioni per la sicurezza dei dati Cyberhaven ha reso pubblico un attacco alla catena di fornitura del software: gli hacker hanno pubblicato una versione dannosa della sua estensione Chrome, la versione 24.10.4. L’attacco è iniziato con un’operazione di phishing che ha compromesso l’accesso di un dipendente al Chrome Web Store.
L’e-mail di phishing affermava di provenire da Google e avvisava che Cyberhaven correva il rischio di essere rimosso dal Chrome Web Store; conteneva un collegamento a un’applicazione Google OAuth dannosa denominata Privacy Policy Extension, che utilizzava il flusso di autorizzazione di Google. L’account Google del dipendente non è stato compromesso – l’account era protetto dall’autenticazione a più fattori (MFA) e dalla protezione avanzata di Google – ma l’aggressore è riuscito ad accedere alle sue credenziali per il Chrome Web Store.
Una volta ottenuto l’accesso, l’aggressore ha copiato l’estensione Chrome ufficiale di Cyberhaven e ha pubblicato una versione dannosa sul Chrome Web Store. Secondo un post sul blog di Cyberhaven, questa estensione dannosa includeva file aggiuntivi per contattare il server di comando e controllo (C&C) dell’aggressore prima di raccogliere i dati dell’utente per l’esfiltrazione su un sito Web esterno. Il post sul blog afferma che, sulla base di un’analisi delle macchine compromesse, “il motivo principale dell’attacco era prendere di mira gli account Facebook Ads”.
“Nella nostra analisi dei numerosi endpoint compromessi della nostra base clienti, il sito Web di destinazione ricevuto dal server C&C erano domini collegati a ‘*.facebook.com’. Non abbiamo ancora riscontrato altri siti web presi di mira, il che ci fa credere che si tratti di un attacco generico e non mirato rivolto agli utenti dei servizi pubblicitari di Facebook.com. sul blog.
Secondo un post sul blog del 27 dicembre di Howard Ting, CEO di Cyberhaven, “il nostro team di sicurezza ha rilevato questa compromissione alle 23:54 UTC del 25 dicembre e ha rimosso il pacchetto dannoso entro 60 minuti”. Come parte della risposta dell’azienda all’hacking, Cyberhaven ha rilasciato uno strumento open Source per rilevare se un’estensione dannosa ha esfiltrato dati. Cyberhaven ha informato per la prima volta gli utenti che la sua estensione era stata compromessa il 26 dicembre.
Cyberhaven ha inoltre concluso che l’accesso agli account Facebook era un obiettivo primario, poiché il percorso del codice dannoso funzionava per ottenere token di accesso a Facebook e informazioni sull’account. Inoltre, il post sul blog rileva che la nuova estensione dannosa ha aggiunto un file ascoltatore di clic del mouse per il sito Web di Facebook.
Ma l’attività dannosa si è diffusa oltre Cyberhaven. “Mentre l’analisi dell’attacco è ancora in corso, ora comprendiamo che faceva parte di una campagna più ampia rivolta agli sviluppatori di estensioni di Chrome”, afferma Cyberhaven nel suo post sul blog: “rapporti pubblici” I ricercatori di sicurezza hanno suggerito che le estensioni di Chrome di diverse società erano compromesso e la nostra analisi iniziale indica che si tratta di un attacco non mirato”.
Tra i ricercatori sulla sicurezza c’è Jaime Blasco, co-fondatore e CTO dell’editore di soluzioni di sicurezza Nudge Security, che ha pubblicato su X il 26 dicembre di avere “motivo di credere che altre estensioni siano interessate”: “In base all’indirizzo IP, ci sono altri domini creati nello stesso periodo di tempo che si risolvono nello stesso indirizzo IP di cyberhavenext[.]professionista”, ha osservato.
Il fornitore di soluzioni di sicurezza informatica Extension Total afferma in un rapporto che finora sono state rilevate 36 estensioni dannose, insieme a un elenco di applicazioni potenzialmente interessate. Gran parte delle applicazioni nell’elenco coinvolgono l’intelligenza artificiale generativa e la tecnologia Web3.
Ma tutto ciò potrebbe far parte di una campagna molto più ampia e più antica. Secure Annex, un altro fornitore di sicurezza delle estensioni, ha osservato attività simili in altre estensioni di Chrome. John Tuckner, fondatore di Secure Annex, ha dichiarato in un post sul blog del 26 dicembre di aver “trovato parte dello stesso codice utilizzato in altre estensioni risalenti a maggio 2024” e che un’estensione compromessa, un keylogger, è stata pubblicata il 6 ottobre. , 2023.
Extension Total e Secure Annex hanno osservato che molte estensioni dannose sono state rimosse e sostituite con nuove versioni legittime. Tuttavia, secondo le due società, alcune estensioni dannose non sono state ancora oggetto di misure correttive.
