L’entreprise de cybersécurité Cyberhaven confirme avoir été la victime d’une cyberattaque qui a eu lieu la veille de Noël et a permis la publication d’une version malveillante de son extension pour le navigateur Google Chrome.
Seule la version 24.10.4 de l’extension pour les navigateurs basés sur Chrome a été touchée. Cyberhaven précise que le code malveillant a été actif entre le 25 décembre à 02h32 et le 26 décembre à 03h50.
Via un e-mail de phishing
Au cours de la période considérée, les navigateurs ayant exécuté l’extension piégée ont été exposés à une exfiltration de cookies et de sessions authentifiées pour certains sites web ciblés. L’extension compromise a été supprimée du Chrome Web Store et une version 24.10.5 saine a été déployée automatiquement.
Cyberhaven recommande à ses clients de s’assurer que leur extension a été mise à jour vers la version 24.10.5 ou une version ultérieure, de révoquer les mots de passe qui ne sont pas FIDOv2, et de consulter les logs pour détecter toute activité suspecte.
Le vecteur d’attaque initial a été un e-mail de phishing envoyé à des développeurs d’extensions pour Chrome. Un employé de Cyberhaven est tombé dans le panneau et ses identifiants pour le Chrome Web Store ont ainsi été compromis.
Une cible parmi d’autres ?
À TechCrunch, le directeur technique de Nudge Security indique que d’autres extensions Chrome avaient été compromises d’une manière similaire à celle de Cyberhaven.
Jaime Blasco cite des extensions de productivité, VPN et IA. « Il semble que l’attaque n’ait pas visé Cyberhaven, mais plutôt les développeurs d’extensions Chrome de manière opportuniste. »
Secure Annex propose un document (Google Sheets) d’extensions Chrome susceptibles d’avoir été compromises dans le cadre de la campagne d’attaque qui serait antérieure à ce mois de décembre. Elle comprend actuellement une vingtaine de noms.