Un Cyberattacco Colpisce le Estensioni Legittime di Chrome, Espone i Dati Sensibili degli Utenti

Un attacco informatico coordinato ha compromesso almeno cinque estensioni di Google Chrome, iniettando un codice malevolo progettato per rubare informazioni sensibili degli utenti, come riportato da Bleeping Computer.

La violazione è stata resa nota per la prima volta il 24 dicembre da Cyberhaven, un’azienda di prevenzione delle perdite di dati, che ha avvisato i suoi clienti dopo un attacco di phishing che ha preso di mira con successo un account amministratore del Chrome Web Store.

Il nostro team ha confermato un attacco informatico malevolo che si è verificato la vigilia di Natale, che ha colpito l’estensione Chrome di Cyberhaven. Ecco il nostro post sull’incidente e le misure che stiamo adottando: https://t.co/VTBC73eWda

Il nostro team di sicurezza è disponibile 24/7 per assistere i clienti colpiti e…

— Cyberhaven (@CyberhavenInc) 27 Dicembre 2024

Bleeping Computer spiega che l’attacco ha permesso all’hacker di dirottare l’account dell’amministratore e pubblicare una versione maligna dell’estensione Cyberhaven. Questa versione includeva un codice che poteva rubare sessioni autenticate e cookies, inviandoli al dominio dell’attaccante.

Tra i clienti di Cyberhaven colpiti dalla violazione ci sono grandi aziende come Snowflake, Motorola, Canon, Reddit e Kirkland & Ellis. La squadra di sicurezza interna di Cyberhaven ha rimosso l’estensione maligna entro un’ora dalla sua rilevazione, come riportato da Bleeping Computer.

Cyberhaven attribuisce l’attacco a un’email di phishing, affermando in una separata analisi tecnica che il codice sembrava essere stato appositamente progettato per colpire gli account di Facebook Ads.

TechCrunch ha notato che il Chrome Web Store elenca circa 400.000 utenti aziendali per l’estensione di Cyberhaven. Quando TechCrunch ha chiesto informazioni, Cyberhaven ha rifiutato di divulgare il numero di clienti interessati a cui aveva notificato l’incidente.

In risposta, una versione pulita dell’estensione è stata pubblicata il 26 dicembre. Cyberhaven ha consigliato ai suoi utenti di aggiornare a questa ultima versione e di prendere precauzioni aggiuntive, come verificare che l’estensione sia stata aggiornata alla versione 24.10.5 o successiva.

Inoltre, Cyberhaven consiglia di revocare e ruotare tutte le password che non utilizzano FIDOv2 e di controllare i log del tuo browser per individuare eventuali attività sospette.

Bleeping Computer fa notare che l’incidente si è esteso oltre l’estensione di Cyberhaven, con ulteriori indagini che hanno rivelato che anche diverse altre estensioni di Chrome sono state colpite. Il ricercatore di Nudge Security, Jaime Blasco, ha rintracciato l’origine dell’attacco analizzando gli indirizzi IP e i domini dell’attaccante.

Riguardo al compromesso dell’estensione chrome di Cyberhaven, ho motivo di credere che ci siano altre estensioni interessate. Ruotando l’indirizzo ip, ci sono più domini creati nello stesso intervallo di tempo che risolvono allo stesso indirizzo ip di cyberhavenext[.]pro (cont)

— Jaime Blasco (@jaimeblascob) 27 Dicembre, 2024

Blasco ha confermato che il frammento di codice maligno è stato iniettato in diverse estensioni nello stesso periodo, come riportato da Bleeping Computer.

Queste includono Internxt VPN, che ha 10.000 utenti, VPNCity, un servizio VPN incentrato sulla privacy con 50.000 utenti, Uvoice, un servizio basato su ricompense con 40.000 utenti, e ParrotTalks, uno strumento per prendere appunti con 40.000 utenti.

Bleeping Computer afferma che, sebbene Blasco abbia identificato altre potenziali vittime, solo le estensioni elencate sopra sono state confermate come contenenti il codice malevolo. Si consiglia agli utenti di queste estensioni colpite di rimuoverle o di assicurarsi di aggiornarle alle versioni sicure rilasciate dopo il 26 dicembre.

Per coloro che non sono sicuri della sicurezza delle loro estensioni, si consiglia di disinstallare le estensioni interessate, reimpostare le password importanti, cancellare i dati del browser e ripristinare le impostazioni del browser ai loro valori predefiniti.