L’extension Chrome d’une entreprise de cybersécurité détournée pour voler les données des utilisateurs

Au moins cinq extensions Chrome ont été compromises lors d’une attaque coordonnée au cours de laquelle un acteur malveillant a injecté du code qui vole des informations sensibles aux utilisateurs.

Une attaque a été révélée par Cyberhaven, une société de prévention des pertes de données qui a alerté ses clients d’une violation le 24 décembre après une attaque de phishing réussie sur un compte administrateur de la boutique Google Chrome.

Parmi les clients de Cyberhaven figurent Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart et Kirkland & Ellis.

Le pirate a détourné le compte de l’employé et a publié une version malveillante (24.10.4) de l’extension Cyberhaven, qui comprenait du code pouvant exfiltrer des sessions authentifiées et des cookies vers le domaine de l’attaquant (cyberhavenext[.] pour).

L’équipe de sécurité interne de Cyberhaven a supprimé le package malveillant dans l’heure qui a suivi sa détection, indique la société dans un e-mail à ses clients.

Cyberhaven, a thing we've never heard about before until about 2 minutes ago, that does something with cybersecurity and lists it's biggest customers on it's website, was compromised. It resulted in a web-browser-based supply chain attack. pic.twitter.com/fNLFqUqQ9K

— vx-underground (@vxunderground) December 27, 2024

Une version propre de l’extension, v24.10.5 a été publiée le 26 décembre. Outre la mise à niveau vers la dernière version, il est recommandé aux utilisateurs de l’extension Chrome Cyberhaven de révoquer les mots de passe qui ne sont pas FIDOv2, de faire pivoter tous les jetons API et de consulter les journaux du navigateur pour évaluer les activités malveillantes.

Plus d’extensions Chrome violées
À la suite de la divulgation de Cyberhaven, Jaime Blasco, chercheur en sécurité de Nudge, a poussé l’enquête plus loin, en s’éloignant des adresses IP et des domaines enregistrés de l’attaquant.

There is code to receive commands from the malicious domain: pic.twitter.com/TawMBXDwhM

— Jaime Blasco (@jaimeblascob) December 27, 2024

Selon Blasco, l’extrait de code malveillant qui permettait à l’extension de recevoir des commandes de l’attaquant a également été injecté à peu près au même moment dans d’autres extensions Chrome:

• Internxt VPN-VPN gratuit, crypté et illimité pour une navigation sécurisée. (10 000 utilisateurs)
• VPNCity-VPN axé sur la confidentialité avec cryptage AES 256 bits et couverture mondiale des serveurs. (50 000 utilisateurs)
• Uvoice – Service basé sur des récompenses pour gagner des points grâce à des sondages et fournir des données d’utilisation du PC. (40 000 utilisateurs)
• ParrotTalks-Outil de recherche d’informations spécialisé dans le texte et la prise de notes transparente. (40 000 utilisateurs)

Blasco a trouvé plus de domaines qui pointent vers d’autres victimes potentielles, mais seules les extensions ci-dessus ont été confirmées pour porter l’extrait de code malveillant.

Il est recommandé aux utilisateurs de ces extensions de les supprimer du navigateur ou de passer à une version sécurisée publiée après le 26 décembre après s’être assuré que l’éditeur a pris connaissance du problème de sécurité et l’a résolu.

En cas de doute, il serait préférable de désinstaller l’extension, de réinitialiser les mots de passe de compte importants, d’effacer les données du navigateur et de réinitialiser les paramètres du navigateur à leurs valeurs par défaut d’origine.