少なくとも5つのChrome拡張機能が、脅威行為者がユーザーから機密情報を盗むコードを注入する連携攻撃で侵害された。
この攻撃の1つは、Google Chromeストアの管理者アカウントへのフィッシング攻撃が成功した後、12月24日に顧客に侵害を警告したデータ損失防止会社であるCyberhavenによって開示された。
Cyberhavenの顧客には、Snowflake、Motorola、Canon、Reddit、AmeriHealth、Cooley、IVP、Navan、DBS、Upstart、Kirkland & Ellisが含まれる。
ハッカーは従業員のアカウントを乗っ取り、Cyberhaven拡張機能の悪意のあるバージョン(24.10.4)を公開しました。このバージョンには、認証セッションとクッキーを攻撃者のドメイン(cyberhavenext[.]pro)に流出させるコードが含まれていました。
Cyberhavenの内部セキュリティチームは、悪意のあるパッケージが検出されてから1時間以内に削除したと、同社は顧客への電子メールで述べています。
拡張機能のクリーンバージョンであるv24.10.5は、12月26日に公開されました。最新バージョンへのアップグレードとは別に、Cyberhaven Chrome拡張機能のユーザーは、FIDOv2でないパスワードを取り消し、すべてのAPIトークンをローテーションし、悪意のある活動を評価するためにブラウザのログを確認することが推奨される。
さらに多くのChrome拡張機能が侵害される
Cyberhavenの情報公開後、Nudge Securityの研究者であるJaime Blasco氏は、攻撃者のIPアドレスと登録ドメインからさらに調査を進めた。
Blasco氏によると、この拡張機能が攻撃者からコマンドを受け取るようにした悪意のあるコードスニペットは、同時期に他のChrome拡張機能にも注入されていたという:
- Internxt VPN– 安全なブラウジングのための無料で暗号化された無制限のVPN。(10,000ユーザー)
- VPNCity– AES 256-bit 暗号化とグローバルサーバーをカバーするプライバシー重視の VPN。(50,000ユーザー)
- Uvoice– アンケートやPC利用データ提供でポイントが貯まるリワード型サービス。(40,000ユーザー)
- ParrotTalks– テキストとシームレスなノートテイクに特化した情報検索ツール。(40,000ユーザー)
Blascoは、他の潜在的な被害者を指すドメインをさらに発見したが、悪質なコードスニペットが含まれていることが確認されたのは上記の拡張機能のみであった。
これらの拡張機能を使用しているユーザーは、ブラウザから削除するか、パブリッシャーがセキュリティ問題を知り、それを修正したことを確認した上で、12月26日以降に公開された安全なバージョンにアップグレードすることを推奨する。
不明な場合は、拡張機能をアンインストールし、重要なアカウントのパスワードをリセットし、ブラウザのデータを消去し、ブラウザの設定を元のデフォルトにリセットするのがよいだろう。
Comments