Наприкінці 2023 року експерти з кібербезпеки виявили масштабну цільову атаку на популярні розширення браузера Google Chrome. Особливу увагу привернув інцидент із компрометацією розширення від компанії Cyberhaven – провідного розробника рішень для захисту від витоку даних. Зловмисники використали складну схему проникнення через скомпрометовані облікові записи розробників.
Технічні деталі компрометації Cyberhaven
24 грудня кіберзлочинці успішно провели таргетовану фішингову атаку на співробітника Cyberhaven, отримавши доступ до його облікового запису. Використовуючи захоплені credentials, атакуючі опублікували шкідливу версію розширення (24.10.4), яка містила код для перехоплення аутентифікаційних сесій та файлів cookie користувачів. Весь перехоплений трафік переспрямовувався на контрольований зловмисниками домен cyberhavenext[.]pro.
Оцінка масштабів та потенційних наслідків
Серед клієнтської бази Cyberhaven присутні великі технологічні компанії, включаючи Snowflake, Motorola, Canon та Reddit. Шкідлива версія розширення залишалася активною протягом приблизно 30 годин до моменту виявлення та видалення з Chrome Web Store. За цей період зловмисники потенційно могли отримати доступ до конфіденційної корпоративної інформації та облікових даних користувачів.
Розширення атаки на інші продукти
За даними дослідження Nudge Security, атака торкнулася щонайменше чотирьох інших популярних розширень Chrome. Аналіз інфраструктури зловмисників вказує на можливість існування додаткових скомпрометованих розширень. Розслідування триває за участю фахівців Mandiant (Google) та федеральних правоохоронних органів.
Рекомендації щодо мінімізації ризиків
Експерти з кібербезпеки рекомендують користувачам вжити наступних заходів:
- Негайно оновити всі встановлені розширення до версій, випущених після 26 грудня
- Змінити паролі критично важливих облікових записів
- Провести ротацію всіх API-токенів
- Очистити кеш браузера та скинути налаштування
- Проаналізувати системні логи на предмет підозрілої активності
Цей інцидент демонструє критичну важливість регулярного аудиту безпеки браузерних розширень та необхідність впровадження багатофакторної автентифікації для захисту облікових записів розробників. Організаціям рекомендується переглянути свої політики безпеки щодо використання сторонніх розширень та посилити моніторинг активності корпоративних користувачів.
