Des hackers ont pris le contrôle d’une extension Chrome développée par la société de cybersécurité Cyberhaven la veille de Noël. Ils ont pu mettre en ligne une version malveillante de l’extension, programmée pour voler des données. Des dizaines d’autres extensions ont été compromises de la même manière.
Dans la journée du 24 décembre 2024, des cybercriminels sont parvenus à compromettre une extension Google Chrome proposée par la société de cybersécurité Cyberhaven. Comme l’explique l’entreprise dans un billet de blog, des hackers ont mené une attaque de phishing afin de prendre le contrôle d’un compte administrateur.
Concrètement, un employé de la firme est tombé dans le piège d’un courriel de phishing. Au terme de l’attaque, les pirates ont obtenu les « informations d’identification d’un employé de Cyberhaven sur le Google Chrome Web Store ». Avec ces informations, les hackers ont pu pénétrer sur le compte et mettre en ligne une version malveillante de l’extension. La version piratée s’est aussi installée sur les ordinateurs sur lesquels Chrome se met à jour automatiquement.
À lire aussi : Des fausses mises à jour Chrome, Edge et Firefox tentent de piéger les Français
Vol de données Facebook Ads
Une fois téléchargée par les utilisateurs de Chrome, l’extension siphonnait les données personnelles. Elle avait pour cible principale les utilisateurs de Facebook Ads, une plateforme publicitaire utilisée pour créer et gérer des campagnes publicitaires sur Facebook. Parmi les données visées, on trouve des identifiants, des jetons d’accès, des cookies de navigation ou encore d’autres informations liées aux comptes Ads.
Cyberhaven s’est rapidement rendu compte de l’attaque. La société a supprimé la version frauduleuse de son extension dans l’heure suivant la mise en ligne. Les dégâts ont été limités. Par précaution, la société recommande à ses clients de changer tous leurs mots de passe, de vérifier que le correctif a bien été installé et de rechercher la moindre activité suspecte sur leurs outils.
18 extensions compromises
Malheureusement, l’attaque ne se limite pas à Cyberhaven. Selon les informations obtenues par nos confrères de Bleeping Computer auprés de chercheur en sécurité, une cyberattaque analogue a permis aux pirates de compromettre d’autres extensions Chrome populaire. Voici la liste complète des extensions affectées :
- Bookmark Favicon Changer
- Castorus
- Wayin AI
- Search Copilot AI Assistant
- VidHelper
- Vidnoz Flex
- TinaMind
- Primus
- AI Shop Buddy
- Sort by Oldest
- Earny
- ChatGPT Assistant
- Keyboard History Recorder
- Email Hunter
- Internxt VPN
- VPNCity
- Uvoice
- ParrotTalks
Ces extensions cumulent plus de 380 000 téléchargements sur le Chrome Web Store. Toutes ces extensions contenaient le même code malveillant que celui identifié dans la version compromise de Cyberhaven. Attention, il est possible que d’autres extensions soient tombées dans les filets des pirates, sans que les chercheurs le découvrent.
À lire aussi : vol massif sur Google Chrome – un ransomware pille les mots de passe des internautes
Vague d’attaques la veille de Noël
Comme le souligne Cyberhaven, l’offensive s’inscrit dans « une campagne plus vaste visant les développeurs d’extensions Chrome au sein de nombreuses entreprises ». D’après l’enquête menée par les chercheurs, de nombreuses extensions ont été piratées au même moment, c’est-à-dire la veille de Noël.
« Il semble que cette attaque ne visait pas spécifiquement Cyberhaven, mais qu’elle ciblait de manière opportuniste les développeurs d’extensions. Je pense qu’ils ont exploité les extensions accessibles en se basant sur les identifiants des développeurs dont ils disposaient », explique le chercheur de Nudge Security, Jaime Blasco, qui a enquêté sur la cyberattaque.
Les pirates tablaient visiblement sur les fêtes de fin d’année, qui éloignent les développeurs de leurs bureaux, pour frapper sans être découverts dans l’immédiat. C’est une tactique répandue parmi les cybercriminels. Elle consiste à orchestrer une offensive quand les bureaux sont fermés, durant la nuit ou pendant les week-ends. Le piratage de certaines extensions remonte néanmoins au milieu du mois de décembre.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Bleeping Computer