В конце декабря 2023 года специалисты по кибербезопасности зафиксировали масштабную атаку на популярные расширения для браузера Chrome. Злоумышленники, используя скомпрометированные учетные записи разработчиков, внедрили вредоносный код в несколько расширений, включая продукт компании Cyberhaven — известного разработчика решений для защиты от утечек данных.
Анатомия атаки на Cyberhaven
24 декабря злоумышленники получили доступ к учетной записи сотрудника Cyberhaven путем проведения продвинутой фишинговой атаки. Используя скомпрометированные учетные данные, атакующие опубликовали вредоносную версию расширения (24.10.4), которая содержала код для перехвата аутентификационных сессий и файлов cookie пользователей. Весь перехваченный трафик перенаправлялся на подконтрольный злоумышленникам домен cyberhavenext[.]pro.
Масштаб компрометации и последствия
Среди клиентов Cyberhaven числятся крупные компании, включая Snowflake, Motorola, Canon и Reddit. Вредоносное расширение оставалось активным примерно 30 часов, прежде чем было обнаружено и удалено из Chrome Web Store. За это время злоумышленники потенциально могли получить доступ к конфиденциальным данным пользователей корпоративных систем.
Другие скомпрометированные расширения
Исследование, проведенное специалистами Nudge Security, выявило, что атака затронула как минимум четыре других популярных расширения Chrome. Анализ инфраструктуры злоумышленников указывает на возможность существования дополнительных скомпрометированных расширений, расследование продолжается.
Рекомендации по безопасности
Для защиты от последствий атаки специалисты рекомендуют пользователям выполнить следующие действия:
- Обновить затронутые расширения до последних версий, выпущенных после 26 декабря
- Сменить пароли всех важных учетных записей
- Выполнить ротацию API-токенов
- Очистить данные браузера и сбросить настройки
- Проверить логи на предмет подозрительной активности
В настоящее время расследование инцидента продолжается при участии специалистов Mandiant (Google) и федеральных правоохранительных органов. Этот случай подчеркивает важность регулярного аудита безопасности браузерных расширений и необходимость внедрения многофакторной аутентификации для защиты учетных записей разработчиков.
