Dussintals Chrome-tillägg hackade, över 2,6 miljoner användare utsatts för datastöld

I ett stort intrång i cybersäkerheten äventyrades minst 35 populära Chrome-webbläsartillägg, vilket exponerade över 2,6 miljoner användare för potentiell datastöld och insamling av autentiseringsuppgifter. Attacken riktade sig mot tilläggsutvecklare med en nätfiskekampanj, vilket gjorde det möjligt för hackare att injicera skadlig kod i legitima tillägg, och förvandla betrodda verktyg till hot mot datastöld.

Hur attacken hände

Intrånget började med ett nätfiske-e-postmeddelande som imiterade utvecklarsupporten för Google Chrome Web Store. E-postmeddelandet hävdade felaktigt att de riktade tilläggen riskerade att tas bort för att bryta mot policyer och uppmanade utvecklare att följa en länk för att "lösa problemet." Den här länken gav behörigheter till en skadlig OAuth-app som heter "Privacy Policy Extension", vilket ger angripare tillgång till utvecklarnas konton.

När åtkomst erhölls laddades skadlig kod upp till de berörda tilläggen. Denna kod:

• Stal cookies och användaråtkomsttokens .
• Kommunicerade med kommando-och-kontroll-servrar (C&C) för att ladda ner ytterligare instruktioner.
• Exfiltrerad användardata för ytterligare utnyttjande.

Attacken kom upp när cybersäkerhetsföretaget Cyberhaven avslöjade att en av dess anställda var måltavla den 24 december. Företagets webbläsartillägg utnyttjades snabbt, men denna incident var bara toppen av ett isberg.

Fullständig lista över komprometterade tillägg

När utredarna grävde djupare identifierade de följande komprometterade Chrome-tillägg:

1. AI Assistant - ChatGPT och Gemini för Chrome
2. Bard AI Chat Extension
3. GPT 4 Sammanfattning med OpenAI
4. Sök Copilot AI Assistant för Chrome
5. TinaMind AI Assistant
6. Wayin AI
7. VPNCity
8. Internxt VPN
9. Vidnoz Flex videoinspelare
10. VidHelper Video Downloader
11. Bokmärke Favicon Changer
12. Castorus
13. Uvoice
14. Läsarläge
15. Papegoja samtal
16. Primus
17. Tackker - Online Keylogger Tool
18. AI Shop Buddy
19. Sortera efter äldst
20. Rewards Search Automator
21. ChatGPT Assistant - Smart sökning
22. Keyboard History Recorder
23. Mejla Hunter
24. Visuella effekter för Google Meet
25. Tjäna - Upp till 20% Cash Back
26. Var är Cookie?
27. Webbspegel
28. ChatGPT-appen
29. Hej AI
30. Web3Password Manager
31. YesCaptcha-assistent
32. Proxy SwitchyOmega (V3)
33. GraphQL Network Inspector
34. ChatGPT för Google Meet
35. GPT 4 Sammanfattning med OpenAI

Denna omfattande lista belyser omfattningen av intrånget, vilket påverkar tillägg som används för AI-assistans, VPN-tjänster, produktivitet och mer.

Skadliga aktiviteter avslöjade

Angriparna gjorde mer än att bara stjäla data. Analys av komprometterade tillägg visade:

• Identitets- och autentiseringsinriktning : Skadlig kod sökte åtkomsttokens och identitetsinformation, särskilt Facebook Ads-konton.
• Övervakning av musklick : Kodloggad användare klickar på Facebook-sidor för att fånga QR-koder, vilket kan kringgå tvåfaktorsautentisering (2FA) .
• System för intäktsgenerering : I vissa fall hade utvecklare redan inkluderat SDK:er för insamling av data för intäktsgenerering innan intrånget.

Tillägg som Visual Effects för Google Meet använde ett annonsblockerande bibliotek kopplat till Urban VPN som smygsamlade in användardata.

Hur länge har detta hänt?

Bevis tyder på att denna kampanj kan ha varit aktiv sedan 2022 eller tidigare. Utredare spårade domänregistreringar kopplade till den skadliga aktiviteten så långt tillbaka som 2021. Till exempel:

• Domänen nagofsg[.]com registrerades i augusti 2022.
• Domänen sclpfybn[.]com registrerades i juli 2021.

Pågående risker

Även om många komprometterade tillägg har tagits bort eller uppdaterats på Chrome Web Store, är risken inte helt reducerad. Om den skadliga versionen av ett tillägg fortfarande är aktiv på en användares enhet kan den fortsätta att stjäla data.

"Om du tar bort ett tillägg från Chrome Web Store tas det inte automatiskt bort från användarens slutpunkter", varnar Or Eshed, VD för LayerX Security.

Vad du kan göra

Här är steg du kan vidta för att skydda din data:

1. Avinstallera berörda tillägg : Granska listan över komprometterade tillägg och ta bort alla du har installerat.
2. Återkalla behörigheter : Om du har gett några behörigheter till misstänkta tillägg eller appar, återkalla dem omedelbart i dina Google-kontoinställningar.
3. Aktivera 2FA : Stärk dina konton med tvåfaktorsautentisering där det är möjligt.
4. Uppdatera lösenord : Ändra lösenord för konton som kan ha blivit utsatta.
5. Övervaka för ovanlig aktivitet : Håll utkik efter obehörig åtkomst eller aktivitet på dina konton.

Slutliga tankar

Denna incident understryker det kritiska behovet av vaksamhet när du använder webbläsartillägg. Även om tillägg är kraftfulla verktyg, utgör de också betydande säkerhetsrisker om de äventyras. Både utvecklare och användare måste vara uppmärksamma på nätfiskekampanjer och granska behörigheter och uppdateringar.

Googles granskningsprocess för Chrome Web Store kommer också att behöva anpassas för att bättre upptäcka skadlig aktivitet och skydda användare från liknande hot i framtiden.

Genom att hålla sig informerade och proaktiva kan användare hjälpa till att minimera riskerna med denna och framtida attacker. Låt inte pålitliga verktyg bli en inkörsport för cyberbrottslingar – vidta åtgärder för att skydda din data idag.