Kibernetinio saugumo organizacija „Sekoia“ įspėja „Chrome“ naudotojus apie tiekimo grandinės ataką, nukreiptą prieš naršyklės plėtinių kūrėjus. Nuo jos galimai jau nukentėjo šimtai tūkstančių asmenų.
Panašios atakos vyko prieš dvejus metus
Dešimtys „Chrome“ plėtinių kūrėjų tapo taikinių plataus masto sukčiavimo kampanijos, kurios metu buvo siekiama pavogti API raktus, sesijos slapukus ir kitus autentifikavimo žetonus iš svetainių, tokių kaip „ChatGPT“ ir „Facebook for Business“.
Kibernetinio saugumo įmonė „Sekoia“ išanalizavo šios kampanijos infrastruktūrą ir atsekė jos ryšį su panašiomis atakomis, vykusiomis dar 2023 m.
Naujausias kampanijos aktyvumas užfiksuotas 2024 m. gruodžio 30 d.
Viena iš nukentėjusiųjų buvo Kalifornijos įmonė „Cyberhaven“, kuri kuria debesų kompiuterijos pagrindu veikiančią duomenų apsaugos priemonę.
Atakos metu, 2024 m. gruodžio 26 d., per šventinį laikotarpį įmonė nepastebėjo kompromitacijos, apie kurią vėliau buvo plačiai pranešta.
Incidentas – platesnės kampanijos dalis
„Booz Allen Hamilton“ patvirtino, kad incidentas „Cyberhaven“ buvo platesnės kampanijos dalis.
Ataskaitoje pateikiamas ilgas galimai paveiktų plėtinių sąrašas, o paveiktų naudotojų skaičius gali siekti milijonus. „Sekoia“ pateikė trumpesnį, bet iš dalies sutampantį sąrašą.
Kai kurie galimai paveikti plėtiniai jau pašalinti iš „Chrome“, kiti buvo atnaujinti po „Cyberhaven“ incidento, tačiau viešai pripažinti pažeidimą ryžosi vos keli.
Plėtinio „Reader Mode“ kūrėjas Ryzalas Yusoffas pranešė apie 2024 m. gruodžio 5 d. įvykdytą kibernetinę ataką, per kurią į „Chrome“ parduotuvę buvo įkeltos kenkėjiškos versijos.
Ataka aptikta gruodžio 20 d., kai „Google“ išleido įspėjimus. Kenkėjiškos versijos galėjo rinkti naudotojų duomenis arba vykdyti kitus žalingus veiksmus.
„Nudge Security“ technikos direktorius Jaime Blasco taip pat įvardijo galimai pažeistus plėtinius, kurie daugiausia sutapo su „Booz“ ataskaitos sąrašu.
Kaip užpuolikai taikėsi į „Chrome“ kūrėjus?
Pasak Yusoffo ir „Sekoia“, užpuolikai taikėsi į „Chrome“ kūrėjus, siųsdami apgaulingus el. laiškus, imituojančius oficialią kūrėjų palaikymo tarnybą.
Laiškuose buvo įspėjama apie tariamus plėtinių taisyklių pažeidimus ir nukreipiama į teisėtą „Google“ puslapį, kuriame kūrėjai, neįtardami pavojaus, patvirtindavo prieigą prie kenkėjiškos „OAuth“ programos.
Užpuolikai šią prieigą naudojo kompromituotoms plėtinių versijoms įkelti.
Tyrėjų teigimu, el. paštai galėjo būti surinkti iš viešos „Chrome“ parduotuvės informacijos, o pastarosios atakos buvo tęsinys nuo 2023 m. vykdytų kampanijų, kuriose buvo naudojamos tos pačios technologijos ir registratoriai.