Исследователи обнаружили крупную атаку на цепочку поставок, нацеленную на разработчиков расширений Chrome
- Десятки разработчиков были скомпрометированы, что могло привести к пострадавшим в лице миллионов пользователей.
- Исследователи призывают пользователей обновить или удалить определенные расширения.
Хакеры смогли скомпрометировать множество легитимных расширений для Google Chrome, что считается сложной атакой на цепочку поставок. Это поставило под угрозу данные миллионов пользователей браузера, которые могут столкнуться с кражей данных, идентичности и мошенничеством с переводами.
По словам специалистов из компании Sekoia, атака начинается с убедительной фишинговой рассылки, в которой злоумышленники представляются службой поддержки Google Chrome Web Store. Они отправляют письма разработчикам расширений, утверждая, что они нарушили правила магазина и их работа будет удалена, если они не «расширят свою политику конфиденциальности». В письме содержалась ссылка, ведущая на легитимную страницу авторизации Google OAuth, созданную для вредоносного приложения.
Цели: бизнес-аккаунты Facebook и другое
Жертвы, вводящие свои учетные данные, фактически передавали их злоумышленникам, которые использовали доступ для заражения их работы и скомпрометирования расширений. Злоумышленники нацеливались на бизнес-аккаунты Facebook, ключи API, сессионные куки, токены доступа, информацию об учетных записях и данные рекламных аккаунтов. В некоторых случаях они охотились также за ключами API ChatGPT и данными аутентификации пользователей.
Команда проследила кампанию как минимум до марта 2024 года, с возможностью более ранней активности.
Некоторые из популярных расширений, ставших мишенями, включают GraphQL Network Inspector, Proxy SwitchyOmega (V3), YesCaptcha assistant, Castorus и VidHelper – Video Download Helper. Полный список атакованных расширений можно найти в блоге Sekoia.
Реакция на атаку
Число пострадавших измеряется сотнями тысяч и даже миллионами людей, что в основном отражается в количестве загрузок этих плагинов. Большинство зараженных решений уже удалено из магазина Chrome Web Store. Однако пользователям настоятельно рекомендуется удалить или обновить скомпрометированные расширения до версии, выпущенной после 26 декабря 2024 года, и сбросить важные пароли учетных записей, особенно для Facebook и ChatGPT.
Источник: TechRadar
