Nach Angaben mehrerer Cybersicherheitsanbieter wurden in einer massiven Kampagne Dutzende Google Chrome-Erweiterungen kompromittiert.
Am 27. Dezember 2024 machte der Herausgeber von Datensicherheitslösungen Cyberhaven einen Angriff auf die Software-Lieferkette öffentlich: Hacker veröffentlichten eine bösartige Version seiner Chrome-Erweiterung, Version 24.10.4. Der Angriff begann mit einem Phishing-Vorgang, der den Zugriff eines Mitarbeiters auf den Chrome Web Store gefährdete.
Die Phishing-E-Mail soll angeblich von Google stammen und warnen, dass Cyberhaven Gefahr laufe, aus dem Chrome Web Store entfernt zu werden. Es enthielt einen Link zu einer bösartigen Google OAuth-Anwendung namens Privacy Policy Extension, die den Autorisierungsablauf von Google nutzte. Das Google-Konto des Mitarbeiters wurde nicht kompromittiert – das Konto war durch Multi-Faktor-Authentifizierung (MFA) und Google Advanced Protection geschützt –, aber der Angreifer verschaffte sich Zugriff auf seine Anmeldeinformationen für den Chrome Web Store.
Nachdem der Angreifer Zugriff erhalten hatte, kopierte er die offizielle Chrome-Erweiterung von Cyberhaven und veröffentlichte eine bösartige Version im Chrome Web Store. Laut einem Cyberhaven-Blogbeitrag enthielt diese bösartige Erweiterung zusätzliche Dateien, um den Command-and-Control-Server (C&C) des Angreifers zu kontaktieren, bevor Benutzerdaten zur Exfiltration auf eine externe Website gesammelt wurden. In dem Blogbeitrag wird behauptet, dass, basierend auf einer Analyse der kompromittierten Maschinen, „das Hauptmotiv des Angriffs darin bestand, auf Facebook-Werbekonten abzuzielen.“
„In unserer Analyse der zahlreichen kompromittierten Endpunkte in unserem Kundenstamm waren die vom C&C-Server empfangenen Zielwebsites Domains, die mit „*.facebook.com“ verknüpft waren. Wir haben noch keine anderen Zielwebsites gesehen, weshalb wir davon ausgehen, dass es sich um einen generischen, nicht gezielten Angriff handelt, der auf Nutzer der Werbedienste von facebook.com abzielt. auf dem Blog.
Laut einem Blogbeitrag vom 27. Dezember von Howard Ting, CEO von Cyberhaven, „entdeckte unser Sicherheitsteam diese Kompromittierung am 25. Dezember um 23:54 Uhr UTC und entfernte das Schadpaket innerhalb von 60 Minuten.“ Als Reaktion des Unternehmens auf den Hack veröffentlichte Cyberhaven ein Open-Source-Tool, um zu erkennen, ob eine bösartige Erweiterung Daten exfiltriert hat. Cyberhaven informierte die Benutzer erstmals am 26. Dezember darüber, dass seine Erweiterung kompromittiert worden war.
Cyberhaven kam außerdem zu dem Schluss, dass der Zugriff auf Facebook-Konten ein vorrangiges Ziel war, da der Schadcode auf seinem Weg an Facebook-Zugriffstoken und Kontoinformationen gelangte. Darüber hinaus wird im Blogbeitrag darauf hingewiesen, dass die neue bösartige Erweiterung eine hinzugefügt hat Hörer der Mausklicks für die Facebook-Website.
Aber böswillige Aktivitäten haben sich über Cyberhaven hinaus ausgebreitet. „Während die Analyse des Angriffs noch andauert, wissen wir jetzt, dass er Teil einer umfassenderen Kampagne war, die auf Entwickler von Chrome-Erweiterungen abzielte“, sagt Cyberhaven in seinem Blogbeitrag: „Öffentliche Berichte „Sicherheitsforscher haben vorgeschlagen, dass Chrome-Erweiterungen von mehreren verschiedenen Unternehmen verwendet wurden.“ kompromittiert und unsere erste Analyse zeigt, dass es sich um einen ungezielten Angriff handelt.“
Zu den Sicherheitsforschern gehört Jaime Blasco, Mitbegründer und CTO des Sicherheitslösungsverlags Nudge Security, der am 26. Dezember auf andere im selben Zeitraum erstellte Domains, die auf dieselbe IP-Adresse wie cyberhavenext aufgelöst werden[.]pro“, bemerkte er.
Extension Total, Anbieter von Cybersicherheitslösungen, gibt in einem Bericht an, dass bisher 36 bösartige Erweiterungen entdeckt wurden, zusammen mit einer Liste potenziell betroffener Anwendungen. Ein großer Teil der Anwendungen auf der Liste umfasst generative KI und Web3-Technologie.
Aber das könnte alles Teil einer viel größeren und älteren Kampagne sein. Secure Annex, ein weiterer Anbieter von Erweiterungssicherheit, hat ähnliche Aktivitäten in anderen Chrome-Erweiterungen beobachtet. John Tuckner, Gründer von Secure Annex, sagte in einem Blogbeitrag vom 26. Dezember, dass er „einen Teil des gleichen Codes gefunden habe, der in anderen Erweiterungen aus dem Mai 2024 verwendet wurde“ und dass am 6. Oktober eine kompromittierte Erweiterung, ein Keylogger, veröffentlicht wurde , 2023.
Extension Total und Secure Annex haben beobachtet, dass viele bösartige Erweiterungen entfernt und durch neue legitime Versionen ersetzt wurden. Nach Angaben der beiden Unternehmen wurden für einige bösartige Erweiterungen jedoch noch keine Korrekturmaßnahmen ergriffen.
