Des dizaines d’extensions de Google Chrome ont été piratées dans le cadre d’une vaste campagne de menaces, selon plusieurs fournisseurs de cybersécurité.
Le fournisseur de sécurité des données Cyberhaven a rendu public le 27 décembre une attaque contre la chaîne d’approvisionnement au cours de laquelle les attaquants ont publié une version malveillante de son extension Chrome, la version 24.10.4. L’attaque a commencé par une attaque de phishing qui a compromis l’accès d’un employé au Chrome Web Store trois jours plus tôt.
L’e-mail de phishing prétendait provenir de Google et avertissait que Cyberhaven risquait d’être supprimé du Chrome Web Store ; il contenait un lien vers une application OAuth Google malveillante appelée Privacy Policy Extension, qui utilisait le flux d’autorisation de Google. Le compte Google de l’employé n’a pas été compromis (le MFA et la protection avancée Google étaient activés sur le compte), mais l’attaquant a obtenu l’accès à ses informations d’identification pour le Chrome Web Store.
Une fois que l’attaquant a obtenu l’accès, il a copié l’extension Chrome officielle de Cyberhaven et a publié une version malveillante sur le Chrome Web Store. Cette extension malveillante, selon un article du blog Cyberhaven, incluait des fichiers supplémentaires pour contacter le serveur de commande et de contrôle (C&C) de l’attaquant avant de collecter les données utilisateur pour les exfiltrer vers un site Web externe. Le blog affirmait que, sur la base d’une analyse des machines compromises, “le principal motif de l’attaque était de cibler les comptes Facebook Ads”.
“Dans notre analyse de nombreux points de terminaison compromis au sein de notre base de clients, le site Web cible reçu du serveur C&C était des domaines liés à ‘*.facebook.com’. Nous n’avons pas encore vu d’autres sites Web ciblés, ce qui nous laisse penser que cette attaque “Il s’agissait d’une attaque générique et non ciblée, destinée aux utilisateurs de la publicité sur Facebook.com”, peut-on lire sur le blog.
Selon un article de blog publié le 27 décembre par Howard Ting, PDG de Cyberhaven, “Notre équipe de sécurité a détecté cette compromission à 23 h 54 UTC le 25 décembre et a supprimé le package malveillant dans les 60 minutes.” Dans le cadre de la réponse de l’entreprise au piratage, Cyberhaven a publié un outil open source pour détecter lorsqu’une extension malveillante a exfiltré des données. Cyberhaven a initialement informé les utilisateurs que son extension avait été compromise le 26.
Cyberhaven a en outre conclu que l’accès au compte Facebook était un objectif principal car le chemin du code malveillant s’efforçait d’obtenir des jetons d’accès et des informations sur le compte Facebook. De plus, le blog a noté que la nouvelle extension malveillante ajoutait un écouteur de clic de souris pour le site Web de Facebook.
L’activité de la menace s’est étendue au-delà de Cyberhaven. “Bien que l’analyse de l’attaque soit toujours en cours, nous comprenons maintenant qu’elle faisait partie d’une campagne plus large visant les développeurs d’extensions Chrome”, a déclaré Cyberhaven dans le blog. “Des rapports publics de chercheurs en sécurité suggèrent que les extensions Chrome de plusieurs sociétés différentes ont été compromises et notre première analyse indique une attaque non ciblée.”
Parmi les chercheurs en sécurité figure Jaime Blasco, co-fondateur et CTO du fournisseur de sécurité Nudge Security, qui a posté sur X le 26 décembre qu’il avait « des raisons de croire que d’autres extensions étaient affectées ».
“En pivotant selon l’adresse IP, davantage de domaines sont créés dans la même période et se résolvent avec la même adresse IP que Cyberhavenext.[.]pro”, a écrit Blasco.
Le fournisseur de cybersécurité Extension Total a déclaré dans un rapport que 36 extensions malveillantes ont été détectées jusqu’à présent, avec une liste d’applications potentiellement affectées. Une part substantielle des applications de la liste implique l’IA générative et la technologie Web3.
Un autre fournisseur de sécurité d’extension, Secure Annex, a observé une activité similaire dans d’autres extensions Chrome. John Tuckner, fondateur de Secure Annex, a déclaré dans un article de blog du 26 décembre que « nous avons trouvé une partie du même code utilisé dans d’autres extensions dès mai 2024 » et qu’une extension compromise, un enregistreur de frappe, a été publiée sur 6 octobre 2023.
Extension Total et Secure Annex ont observé que de nombreuses extensions malveillantes ont été supprimées et remplacées par de nouvelles versions légitimes. Cependant, certaines extensions malveillantes n’ont pas encore été corrigées, selon les deux sociétés.
SearchSecurity d’Informa TechTarget a contacté Cyberhaven pour obtenir des informations supplémentaires, mais la société a refusé de commenter.
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.