هکرها اخیرا موفق شدند طی یک حمله سایبری جدید، تعدادی افزونه معروف و رسمی کروم را مورد هدف قرار دهند و کدهای مخرب خود را به آنها تزریق کنند که به موجب آنها بیش از ۶۰۰,۰۰۰ کاربر در معرض سرقت داده و افشای اطلاعات قرار گرفتند.
در واقع هکرها با نفوذ به اکانت Google Chrome store چندین شرکت ارائه دهنده افزونه کروم توانستند، افزونههای آنها را به کد مخرب آلوده کنند.
اولین شرکتی که توسط این حمله مورد نفوذ قرار گرفته است، شرکت امنیت سایبری Cyberhaven میباشد. Cyberhaven علت این حمله را ایمیل فیشینگ اعلام کرده است. Cyberhaven در 27 دسامبر، فاش کرد که هکرها، با ربودن اکانت یکی از کارمندان و سوء استفاده از مجوزها و دسترسی آن توانستند، افزونه مرورگر کروم (Chrome) این شرکت را آلوده کرده و کد مخرب خود را برای برقراری ارتباط با یک سرور فرماندهی و کنترل خارجی (C&C) تزریق کنند.
این افزونه شناسایی شده متعلق به نسخه 24.10.4 میباشد که شامل کدهایی برای استخراج sessionهای مرورگر، کوکیها، توکنهای دسترسی کاربر و دادههای احراز هویت میباشد و سپس آنها را به دامنه تحت کنترل مهاجم (cyberhavenext[.]pro) ارسال میکند.
افزونه مرورگر کروم Cyberhaven برای شخصیسازی تجربه وبگردی و کمک به نظارت و امن سازی دادههای مشتریان این شرکت استفاده میشود و امنیت آنها را در وب تضمین میکند. این افزونه توسط شرکتهایی همچون Snowflake، Motorola، Canon، Reddit، AmeriHealth، Cooley، IVP، Navan، DBS، Upstart و Kirkland & Ellis استفاده میشود.
شواهد حاکی از آن است که کد مخرب تزریق شده، دادههای احراز هویت و توکنهای دسترسی به حسابهای فیسبوک به ویژه حسابهای تجاری فیسبوک را جمع آوری میکند:
به گفته Cyberhaven، نسخه مخرب افزونه مرورگر کروم (24.10.4) حدود ۲۴ ساعت پس از انتشار آن در فروشگاه وب کروم، حذف شده است. برخی دیگر از افزونههای فاش شده نیز از فروشگاه وب کروم حذف شدهاند.
دیگر افزونههای مشکوکی که احتمالا به عنوان افزونههای مخرب مرورگر کروم شناسایی شدهاند به شرح زیر میباشند:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
این افزونهها مربوط به VPN ها، هوش مصنوعی، تولید و بهره وری و حتی دانلودرهای ویدیو میباشند که رویکرد گسترده و فرصت طلبانه هکرها را برای جمع آوری دادههای حساس نشان میدهند.
توصیههای امنیتی
اگرچه نسخههای مخرب این افزونهها بلافاصله پس از شناسایی از فروشگاه وب کروم حذف شدهاند، اما کاربرانی که آنها را نصب کردهاند نیز میبایست این افزونهها را از مرورگر خود حذف نمایند و یا به نسخه ایمن منتشر شده پس از 26 دسامبر ارتقا دهند. همچنین اکیدا توصیه میشود که گذرواژههای اکانتهای مهم، بازنشانی شوند.
کارشناسان امنیتی تاکید کردهاند که افزونههای مرورگر اغلب دارای مجوزهای گستردهای هستند که در صورت عدم مدیریت صحیح میتوانند منجر به آسیب پذیریهای قابل توجهی شوند. بسیاری از سازمانها حتی ممکن است از نصب افزونهها بر روی سیستمهای خود آگاه نباشند و این امر باعث افزایش تهدیدات شود.
