Am 25. Dezember um 23:54 Uhr (UTC) entdeckten die Cyberhaven-Teams den Vorfall: Mehr als 24 Stunden lang war das Konto, mit dem einer seiner Mitarbeiter auf den Chrome-Browsererweiterungs-Store zugreift, von einem Dritten kompromittiert worden.
In einer an seine Kunden gesendeten Nachricht weist der Herausgeber von Datenschutzlösungen darauf hin, dass der beteiligte böswillige Akteur dieses Konto verwendet habe, um „am frühen Morgen des 25. Dezember 2024“ eine bösartige Erweiterung im Chrome Web Store zu veröffentlichen.
Die fragliche Erweiterung scheint als Infostealer konzipiert worden zu sein: „Es ist möglich, dass vertrauliche Informationen, einschließlich Cookies und authentifizierte Sitzungstoken, in die Domäne des Angreifers eingeschleust wurden“, erklärt Cyberhaven zwischen dem 25. Dezember um 1:32 Uhr und UTC und am nächsten Tag um 2:50 Uhr UTC. Dies ist der Zeitraum, in dem die Domäne des böswilligen Akteurs – cyberhavenxt[.]pro – war aktiv. Inzwischen wurden jedoch weitere zugehörige Domänen entdeckt.
Cyberhaven gibt an, die bösartige Erweiterung innerhalb von 60 Minuten nach ihrer Entdeckung entfernt zu haben. Aber logischerweise empfiehlt der Herausgeber allen potenziell betroffenen Benutzern – denjenigen, die Version 24.10.4 seiner Erweiterung verwendet haben –, alle ihre Nicht-FIDO2-Passwörter sowie ihre API-Schlüssel zu ändern und die Aktivitätsprotokolle zu überprüfen.
Die bösartige Erweiterung stützte sich insbesondere auf JavaScript-Code, der nach dem Laden von CSS-Stylesheets in Webseiten eingefügt wurde, aber bevor die Seiten vollständig gerendert und anderer JavaScript-Code ausgeführt wurden.
Der Schadcode zielte insbesondere darauf ab, OpenAI-API-Schlüssel zu identifizieren und Sitzungstokens und Cookies zu validieren, bevor er sie an seinen Entwickler sendete.
Betroffen waren mehrere Erweiterungen für Chrome, darunter Internxt VPN, VPNCity, Uvoice und ParrotTalks.
Für Matt Johansen, Gründer von Vulnerable U, ist dieser Vorfall wichtig, weil er „zeigt, wie vertrauenswürdige Sicherheitstools gegen ihre Benutzer missbraucht werden können, mit einem strategisch zeitlich abgestimmten Angriff während einer Feiertagszeit, in der Sicherheitsteams normalerweise in kleinen Teams operieren.“
Die Software-Lieferkette stellt ein Hauptziel für böswillige Akteure dar. Die Bedrohung wird schon seit vielen Jahren geweckt, aber 2024 hat sie erneut gezeigt, insbesondere durch Bounce-Angriffe über den Polyfill.io-Dienst oder sogar durch die Übernahme von GitHub-Funktionen zur Verbreitung von Malware.
