Des pirates auraient pu modifier plusieurs extensions Chrome avec du code malveillant ce mois-ci après avoir accédé aux comptes administrateur via une campagne de phishing. La société de cybersécurité Cyberhaven a partagé dans un ce week-end, son extension Chrome a été compromise le 24 décembre dans une attaque qui semblait « cibler les connexions vers des plateformes spécifiques de publicité sur les réseaux sociaux et d’IA ». Quelques autres extensions ont également été touchées, remontant à la mi-décembre, signalé. Selon Nudge Security qui inclut ParrotTalks, Uvoice et VPNCity.
Cyberhaven a informé ses clients le 26 décembre dans un email vu par qui leur a conseillé de révoquer et de faire pivoter leurs mots de passe et autres informations d’identification. L’enquête initiale de l’entreprise sur l’incident a révélé que l’extension malveillante ciblait les utilisateurs de Facebook Ads, dans le but de voler des données telles que des jetons d’accès, des identifiants d’utilisateur et d’autres informations de compte, ainsi que des cookies. Le code a également ajouté un écouteur de clic de souris. « Après avoir envoyé avec succès toutes les données au [Command & Control] serveur, l’identifiant d’utilisateur Facebook est enregistré dans le stockage du navigateur », a déclaré Cyberhaven dans son analyse. « Cet identifiant utilisateur est ensuite utilisé dans les événements de clic de souris pour aider les attaquants avec 2FA de leur côté si cela était nécessaire. »
Cyberhaven a déclaré avoir détecté la faille pour la première fois le 25 décembre et avoir pu supprimer la version malveillante de l’extension en une heure. Depuis, il a été publié une version propre.