Des chercheurs en cybersécurité ont mis au jour de nombreuses attaques impliquant des mises à jour malveillantes pour des extensions du navigateur Chrome, une semaine après qu’une entreprise de sécurité ait été compromise lors d’un incident similaire.
Selon un rapport d’ExtensionTotal, une plateforme qui analyse les extensions répertoriées sur divers marchés et registres publics, un total de 36 extensions Chrome injectées avec un code volé ont été détectées, essentiellement liées à des outils d’intelligence artificielle (IA) et de réseaux privés virtuels (VPN).
Ces extensions, utilisées collectivement par environ 2,6 millions de personnes, incluent des outils tiers tels que ChatGPT pour Google Meet, Bard AI Chat, YesCaptcha Assistant, VPNCity et Internxt VPN. Certaines des entreprises touchées ont déjà pris des mesures en supprimant les extensions compromises du magasin ou en les mettant à jour, selon l’analyse d’ExtensionTotal.
Lors de l’incident visant l’entreprise de sécurité Cyberhaven la semaine dernière, un acteur malveillant non identifié a compromis l’un des comptes administratifs de la startup par le biais d’un email de phishing. Cela a permis à l’attaquant de publier une nouvelle version de l’extension contenant un code malveillant.
L’email de phishing affirmait faussement que l’extension de Cyberhaven violait les politiques de Google et risquait d’être supprimée du Chrome Web Store. Analyse de l’incident par Cyberhaven, l’objectif principal de cette campagne était de cibler les comptes Facebook Ads et d’obtenir des tokens d’accès, des ID utilisateurs ainsi que des informations sur les comptes professionnels et publicitaires des victimes.
Des rapports ultérieurs ont révélé que d’autres développeurs avaient découvert des extensions supplémentaires vulnérables, la campagne étant également originaire d’emails de phishing similaires.
« Le lien dans cet email ressemble à celui du web store mais mène à un site de phishing conçu pour prendre le contrôle de votre extension Chrome et probablement la mettre à jour avec des malwares, » a écrit un développeur dans le forum de Google Groups.
Le chercheur en sécurité John Tuckner a précédemment signalé que la campagne impliquait au moins 29 extensions Chrome, affectant potentiellement plus de 2,5 millions d’utilisateurs. Certaines de ces extensions pourraient avoir ciblé des informations sensibles sur des plateformes bancaires et d’autres applications, selon Tuckner.
Il reste incertain si toutes les extensions compromises sont liées au même acteur malveillant. Google n’a pas répondu à une demande de commentaire au moment de la publication.
Les chercheurs en sécurité mettent en garde contre le fait que les extensions de navigateur « ne devraient pas être prises à la légère », car elles ont un accès profond aux données du navigateur, y compris aux sessions authentifiées et aux informations sensibles. De plus, les extensions sont faciles à mettre à jour et souvent pas soumises à la même rigueur que les logiciels traditionnels.
ExtensionTotal recommande aux organisations d’utiliser uniquement des versions pré-approuvées des extensions et de s’assurer qu’elles restent inchangées et protégées contre les mises à jour automatiques malveillantes.
« Même lorsque nous faisons confiance au développeur d’une extension, il est crucial de se rappeler que chaque version pourrait être entièrement différente de la précédente, » ont indiqué les chercheurs. « Si le développeur de l’extension est compromis, les utilisateurs le sont également—presque instantanément. »
Points à retenir
- Un rapport a révélé 36 extensions Chrome compromises, principalement liées à des outils d’IA et VPN.
- Les extensions touchées ont atteint environ 2,6 millions d’utilisateurs, soulevant des inquiétudes sur la sécurité des données.
- Des mesures de sécurité doivent être mises en place pour protéger les utilisateurs contre les mises à jour malveillantes.
Il est crucial de rester vigilant face aux extensions que nous choisissons d’installer. La cybersécurité est un domaine en constante évolution, et la confiance dans une extension ou son développeur ne doit pas nous conduire à négliger les risques potentiels. Comment pouvons-nous mieux éduquer les utilisateurs sur ces menaces et les aider à faire des choix plus sûrs en ligne ?
C’est fou comme des extensions conçues pour nous aider peuvent devenir des armes contre nous. Rester vigilant est essentiel dans ce monde numérique éreintant!