Chromeセキュリティ拡張機能がハッキングされ、ユーザーデータを盗まれる

少なくとも 5 つの Chrome 拡張機能が協調攻撃によって侵害され、脅威アクターがユーザーの機密情報を盗むコードを挿入することに成功しました。

これは、Cyber​​haven のサイバーセキュリティ専門家によって提供された情報です。米国を拠点とするデータセキュリティ企業は、Google Chrome ストア上の同社の管理者アカウントを狙ったフィッシング攻撃が成功したことを受けて、12月24日に発生した情報漏洩について顧客に対し警告した。

Cyber​​haven のクライアントには、Snowflake、Motorola、Canon、Reddit、AmeriHealth、Cooley、IVP、Navan、DBS、Upstart、Kirkland & Ellis などの人気ブランドが名を連ねています。

ハッカーは従業員のアカウントを乗っ取り、サイバーヘイブン拡張機能の悪意のあるバージョン（24.10.4）をリリースしました。このバージョンには、攻撃者のドメイン（cyberhavenext[.]pro）への認証されたセッションとクッキーを盗むことができるコードが含まれていました。

サイバーヘイブンの社内セキュリティチームは、マルウェアパッケージを検知後1時間以内に削除したと、同社は顧客への電子メールで述べた。

拡張機能のクリーン バージョンは、12 月 26 日にリリースされた v24.10.5 です。最新バージョンにアップグレードすることに加えて、Cyber​​haven Chrome 拡張機能のユーザーは、FIDOv2 以外のパスワードを取り消し、すべての API トークンを変更し、ブラウザー ログを確認して悪意のあるアクティビティを評価することをお勧めします。

多くのChrome拡張機能がハッキングされた

サイバーヘイブンの暴露を受けて、ナッジ・セキュリティの研究者であるジェイミー・ブラスコ氏は、攻撃者の IP アドレスと登録ドメイン名からリダイレクトして、より詳細な調査を実施しました。

Blasco 氏によると、拡張機能が攻撃者からのコマンドを受信できるようにする悪意のあるコードは、同時に他の Chrome 拡張機能にも挿入されたとのことです。

• Internxt VPN – 安全なウェブブラウジングのための無料、暗号化された無制限の VPN。 （10,000ユーザー）
• VPNCity – 256 ビット AES 暗号化とグローバル サーバー カバレッジを備えたプライバシー重視の VPN。 （50,000ユーザー）
• Uvoice – アンケートを通じてポイントを獲得し、PC の使用状況データを提供する報酬ベースのサービス。 （40,000ユーザー）
• ParrotTalks – シームレスなテキストとメモ作成に特化した情報検索エンジン。 （40,000ユーザー）
• Blasco 氏は、他の潜在的な被害者を指し示す複数のドメインを発見しましたが、これまでのところ、悪意のあるコードが含まれていることが確認されているのは上記の拡張子のみです。

これらの拡張機能のユーザーは、発行者がセキュリティ問題を認識して修正したことを確認した上で、ブラウザから拡張機能を直ちに削除するか、12 月 26 日以降にリリースされた安全なバージョンにアップグレードすることをお勧めします。

不明な場合は、拡張機能をアンインストールし、重要なアカウントのパスワードをリセットし、ブラウザのデータを消去し、ブラウザの設定を工場出荷時の状態にリセットすることをお勧めします。