Une vaste attacke ciblant les extensions de navigateur a été révélée, touchant au moins 33 d’entre elles sur le Chrome Web Store pendant les fêtes. Environ 2,6 millions de dispositifs ont potentiellement été compromis. Les chercheurs de Cyberhaven ont identifié du code malveillant dans leur propre extension, déclenchant des vulnérabilités alarmantes.
Que s’est-il juste passé ? Des chercheurs en cybersécurité ont découvert une attaque généralisée visant les extensions de navigateur dans le Chrome Web Store pendant la saison des fêtes. Cette campagne a touché au moins 33 extensions et a potentiellement compromis des données de près de 2,6 millions d’appareils. La faille a été mise au jour lorsque Cyberhaven, un service de prévention des pertes de données, a identifié un code malveillant intégré dans l’une de ses propres extensions.
L’attaque, qui a débuté la veille de Noël, a exploité une vulnérabilité dans le système d’authentification des développeurs du Chrome Web Store. Les attaquants ont utilisé des techniques de spear-phishing sophistiquées pour accéder aux comptes des développeurs d’extensions, leur permettant ainsi de télécharger des versions malveillantes d’extensions populaires.
L’extension de Cyberhaven, conçue pour empêcher les utilisateurs d’entrer des données sensibles par inadvertance dans des emails ou sur des sites web, a été l’une des premières à être compromises. « Notre équipe a confirmé une cyberattaque malveillante survenue à la veille de Noël, affectant l’extension Chrome de Cyberhaven, » a déclaré l’entreprise. « Les rapports publics suggèrent que cette attaque faisait partie d’une campagne plus large ciblant les développeurs d’extensions Chrome à travers de nombreuses entreprises. »
La version compromise de l’extension de Cyberhaven, version 24.10.4, a été disponible pendant 31 heures, du 25 décembre au 26 décembre. Pendant cette période, les navigateurs Chrome avec Cyberhaven installé téléchargeaient et exécutaient automatiquement le code malveillant. L’analyse de l’extension a révélé qu’elle était conçue pour interagir avec différents payloads téléchargés depuis un site malveillant imitant le domaine officiel de Cyberhaven.
Violation de Cyberhaven signalée. Employé ph\u00EDs\u00E9 et pouss\u00E9 une extension chrome malveillante.
Command and Control:
149.28.124.84
cyberhavenext[.]proHash de fichiers :
content.js AC5CC8BCC05AC27A8F189134C2E3300863B317FBworker.js 0B871BDEE9D8302A48D6D6511228CAF67A08EC60
– Christopher Stanley (@cstanley) 26 décembre 2024
Alors que les chercheurs approfondissaient l’attaque, ils ont découvert qu’elle s’étendait bien au-delà de Cyberhaven. John Tuckner, fondateur de Secure Annex, une société d’analyse et de gestion d’extensions de navigateur, a rapporté qu’au moins 19 autres extensions Chrome avaient été compromises de manière similaire. Les attaquants ont employé la même campagne de spear-phishing et utilisé des domaines similaires pour émettre des payloads et récolter des identifiants d’authentification.
L’impact collectif de ces extensions compromises est stupéfiant, avec un nombre estimé de 1,46 million de téléchargements à travers les 20 extensions touchées. Cette attaque n’est également pas un incident isolé. Une campagne similaire avait ciblé les extensions Chrome et Firefox en 2019, compromettant quatre millions d’appareils, y compris ceux au sein des réseaux de grandes entreprises comme Tesla, Blue Origin et Symantec.
Une enquête plus approfondie a révélé une tendance encore plus alarmante. L’une des extensions compromises, Reader Mode, avait été impliquée dans une campagne distincte remontant à au moins avril 2023. Cette précédente compromission était liée à une bibliothèque de code de monétisation qui recueillait des données détaillées sur chaque visite web d’un navigateur. Tuckner a identifié 13 extensions Chrome, avec un total de 1,14 million d’installations, ayant utilisé cette bibliothèque pour collecter des données potentiellement sensibles.
Ces incidents ont suscité des discussions sur comment mieux sécuriser les extensions de navigateur. Tuckner propose une solution potentielle : les organisations pourraient mettre en œuvre une liste de gestion des actifs de navigateur, permettant uniquement aux extensions sélectionnées de fonctionner tout en bloquant toutes les autres.