Des pirates ont détourné des extensions Chrome légitimes pour tenter de voler des données

Une campagne de cyberattaque a inséré du code malveillant dans plusieurs extensions du navigateur Chrome dès la mi-décembre, Reuters signalé hier. Le code semblait conçu pour voler les cookies du navigateur et les sessions d’authentification, ciblant « des plateformes spécifiques de publicité sur les réseaux sociaux et d’IA ». d’après un article de blog de Cyberhaven, l’une des sociétés ciblées.

Cyberhaven attribue l’attaque à un e-mail de phishing, écrivant dans un poste d’analyse technique séparé que le code semblait cibler spécifiquement les comptes Facebook Ads. Selon Reuters, p.Le chercheur en sécurité Jaime Blasco estime que l’attaque était « simplement aléatoire » et ne ciblait pas spécifiquement Cyberhaven. Il posté sur X qu’il avait trouvé des extensions VPN et AI contenant le même code malveillant que celui inséré dans Cyberhaven.

Cyberhaven affirme que les pirates ont poussé une mise à jour (version 24.10.4) de son extension de prévention des pertes de données Cyberhaven contenant le code malveillant la veille de Noël à 20 h 32 HE. Cyberhaven dit avoir découvert le code le 25 décembre à 18 h 54 HE et l’avoir supprimé en une heure, mais que le code était actif jusqu’au 25 décembre à 21 h 50 HE. La société affirme avoir publié une version propre dans sa mise à jour 24.10.5.

Les recommandations de Cyberhaven aux entreprises susceptibles d’être concernées incluent qu’elles vérifient leurs journaux pour détecter toute activité suspecte et qu’elles révoquent ou alternent tous les mots de passe n’utilisant pas la norme d’authentification multifacteur FIDO2. Avant de publier ses articles, la société a informé ses clients par e-mail que TechCrunch signalé Vendredi matin.