Des dizaines d’extensions Google Chrome ont été compromises lors d’une campagne massive, selon plusieurs fournisseurs de cybersécurité.
C’est le 27 décembre 2024 que l’éditeur de solutions de sécurité des données Cyberhaven a rendu publique une attaque contre la chaîne d’approvisionnement logicielle : des pirates ont publié une version malveillante de son extension Chrome, la version 24.10.4. L’attaque a commencé par une opération de phishing qui a compromis l’accès d’un employé au Chrome Web Store.
L’e-mail de phishing prétendait provenir de Google et avertissait que Cyberhaven risquait d’être supprimé du Chrome Web Store ; il contenait un lien vers une application malveillante de Google OAuth appelée Privacy Policy Extension, qui utilisait le flux d’autorisation de Google. Le compte Google de l’employé n’a pas été compromis – le compte était protégé par l’authentification multifacteur (MFA) et la protection avancée Google – mais l’attaquant a eu accès à ses informations d’identification pour le Chrome Web Store.
Une fois l’accès obtenu, l’attaquant a copié l’extension Chrome officielle de Cyberhaven et a publié une version malveillante sur le Chrome Web Store. Selon un article du blog Cyberhaven, cette extension malveillante incluait des fichiers supplémentaires permettant de contacter le serveur de commande et de contrôle (C&C) de l’attaquant avant de collecter les données utilisateur pour les exfiltrer vers un site Web externe. Le billet de blog affirme que, sur la base d’une analyse des machines compromises, « le principal motif de l’attaque était de cibler les comptes Facebook Ads ».
« Dans notre analyse des nombreux points de terminaison compromis au sein de notre base de clients, le site Web cible reçu du serveur C&C était des domaines liés à « *.facebook.com ». Nous n’avons pas encore vu d’autres sites Web ciblés, ce qui nous laisse penser qu’il s’agit d’une attaque générique et non ciblée ciblant les utilisateurs des services publicitaires de Facebook.com. sur le blog.
Selon un article de blog publié le 27 décembre par Howard Ting, PDG de Cyberhaven, « notre équipe de sécurité a détecté cette compromission à 23 h 54 UTC le 25 décembre et a supprimé le paquet malveillant dans les 60 minutes ». Dans le cadre de la réponse de l’entreprise au piratage, Cyberhaven a publié un outil open source pour détecter si une extension malveillante a exfiltré des données. Cyberhaven a informé pour la première fois les utilisateurs que son extension avait été compromise le 26 décembre.
Cyberhaven a également conclu que l’accès aux comptes Facebook était un objectif principal, car le code malveillant permettait d’obtenir des jetons d’accès et des informations sur les comptes Facebook. De plus, le billet de blog indique que la nouvelle extension malveillante a ajouté un auditeur de clics de souris pour le site Facebook.
Mais les activités malveillantes se sont propagées au-delà de Cyberhaven. “Bien que l’analyse de l’attaque soit toujours en cours, nous comprenons maintenant qu’elle faisait partie d’une campagne plus large ciblant les développeurs d’extensions Chrome”, déclare Cyberhaven dans son blog : “des rapports publics” Les chercheurs en sécurité ont suggéré que les extensions Chrome de plusieurs sociétés différentes étaient compromis et notre première analyse indique qu’il s’agit d’une attaque non ciblée.
Parmi les chercheurs en sécurité figure Jaime Blasco, co-fondateur et CTO de l’éditeur de solutions de sécurité Nudge Security, qui a publié sur X le 26 décembre qu’il avait « des raisons de croire que d’autres extensions sont affectées » : « Sur la base de l’adresse IP, il y a d’autres domaines créés au cours de la même période et résolus par la même adresse IP que cyberhavenext[.]pro », a-t-il noté.
Le fournisseur de solutions de cybersécurité Extension Total indique dans un rapport que 36 extensions malveillantes ont été détectées jusqu’à présent, ainsi qu’une liste d’applications potentiellement affectées. Une grande partie des applications de la liste impliquent l’IA générative et la technologie Web3.
Mais tout cela pourrait faire partie d’une campagne beaucoup plus vaste et plus ancienne. Secure Annex, un autre fournisseur de sécurité d’extensions, a observé une activité similaire dans d’autres extensions Chrome. John Tuckner, fondateur de Secure Annex, a déclaré dans un article de blog du 26 décembre qu’il « avait trouvé une partie du code utilisé dans d’autres extensions remontant à mai 2024 » et qu’une extension compromise, un enregistreur de frappe, avait été publiée le 6 octobre. , 2023.
Extension Total et Secure Annex ont observé que de nombreuses extensions malveillantes ont été supprimées et remplacées par de nouvelles versions légitimes. Toutefois, selon les deux sociétés, certaines extensions malveillantes n’ont pas encore fait l’objet de mesures correctives.
