Que s’est-il passé ? Des chercheurs en cybersécurité ont révélé une attaque étendue ciblant les extensions de navigateur disponibles sur le Chrome Web Store, survenue durant la saison des fêtes. Cette campagne a touché au moins 33 extensions et a potentiellement comprometté les données d’environ 2,6 millions d’appareils. Le problème a été mis en lumière lorsque Cyberhaven, un service de prévention de perte de données, a identifié un code malveillant intégré dans l’une de ses propres extensions.
L’attaque, qui a débuté la veille de Noël, a exploité une vulnérabilité dans le système d’authentification des développeurs du Chrome Web Store. Les attaquants ont utilisé des techniques de spear-phishing sophistiquées pour accéder aux comptes des développeurs d’extensions, leur permettant ainsi de télécharger des versions malveillantes d’extensions populaires.
L’extension de Cyberhaven, conçue pour empêcher les utilisateurs de saisir involontairement des données sensibles dans des e-mails ou sur des sites web, a été l’une des premières compromises. “Notre équipe a confirmé qu’une cyberattaque malveillante s’est produite la veille de Noël, affectant l’extension Chrome de Cyberhaven,” a déclaré l’entreprise. “Des rapports publics suggèrent que cette attaque faisait partie d’une campagne plus vaste ciblant les développeurs d’extensions Chrome à travers diverses entreprises.”
La version compromise de l’extension de Cyberhaven, la version 24.10.4, a été disponible pendant 31 heures, du 25 au 26 décembre. Au cours de cette période, les navigateurs Chrome ayant Cyberhaven installé téléchargeaient et exécutaient automatiquement le code malveillant. L’analyse de l’extension a révélé qu’elle interagissait avec différents payloads téléchargés depuis un site malveillant imitant le domaine officiel de Cyberhaven.
Violation de Cyberhaven signalée. Un employé a été victime de phishing et a introduit une extension Chrome malveillante.
Command and Control:
149.28.124.84
cyberhavenext[.]proFile Hashes:
content.js AC5CC8BCC05AC27A8F189134C2E3300863B317FBworker.js 0B871BDEE9D8302A48D6D6511228CAF67A08EC60
– Christopher Stanley (@cstanley) 26 décembre 2024
Alors que les chercheurs examinaient plus en profondeur l’attaque, ils ont découvert qu’elle s’étendait bien au-delà de Cyberhaven. John Tuckner, fondateur de Secure Annex, une société d’analyse et de gestion d’extensions de navigateur, a signalé qu’au moins 19 autres extensions Chrome avaient été compromises de manière similaire. Les attaquants ont utilisé la même campagne de spear-phishing et des domaines ressemblant à des sites officiels pour diffuser des payloads et collecter des identifiants d’authentification.
L’impact global de ces extensions compromises est considérable, avec environ 1,46 million de téléchargements cumulés sur les 20 extensions touchées. De plus, cette attaque s’inscrit dans un contexte plus large, avec une campagne similaire ayant visé les extensions Chrome et Firefox en 2019, compromettant quatre millions de dispositifs, y compris ceux des réseaux de grandes entreprises comme Tesla, Blue Origin et Symantec.
Une enquête approfondie a révélé une tendance encore plus préoccupante. L’une des extensions compromises, Reader Mode, faisait partie d’une campagne distincte datant d’au moins avril 2023. Ce compromis antérieur était lié à une bibliothèque de code de monétisation collectant des données détaillées sur chaque visite web effectuée par un navigateur. Tuckner a identifié 13 extensions Chrome, cumulant 1,14 million d’installations, ayant utilisé cette bibliothèque pour collecter des données potentiellement sensibles.
L’incident a ouvert la voie à des discussions sur la manière de mieux sécuriser les extensions de navigateur. Tuckner propose une solution envisageable : les organisations pourraient établir une liste de gestion des actifs de navigateur, permettant uniquement à des extensions sélectionnées de fonctionner tout en bloquant toutes les autres.
Points à retenir
- La campagne a compromis au moins 33 extensions, touchant environ 2,6 millions d’appareils.
- Les techniques de spear-phishing ont été des outils clés pour les attaquants dans l’accès aux comptes des développeurs.
- Une gestion rigoureuse des extensions de navigateur pourrait aider à prévenir de futures attaques.
Cette situation soulève des questions cruciales sur la sécurité des extensions de navigateur et montre à quel point la vigilance est essentielle dans notre utilisation quotidienne des technologies web. S’interroger sur les moyens d’améliorer les protocoles de sécurité pourrait devenir une priorité pour les développeurs et utilisateurs d’extensions.
Ah, les extensions de navigateur, toujours le bon plan jusqu’à ce qu’on tombe sur une petite cyberattaque. Note à moi-même : vérifier les mises à jour avant de surfer !
Cette attaque est vraiment inquiétante ! On doit être prudents avec les extensions qu’on utilise, surtout quand il s’agit de données sensibles.