Masowy atak hakerski na wtyczki twojej przeglądarki. Ponad pół miliona ofiar
Nie raz i nie dwa powtarzamy, by nie instalować wtyczek z niezaufanych źródeł. Jednak jak się okazuje, i ta rada ma się na nic jeżeli twórcy znanych i zaufanych wtyczek sami padną ofiarami złośliwego oprogramowania.
Mówiąc o niebezpieczeństwach związanych z instalacją wtyczek w przeglądarkach, w zdecydowanej większości przypadków mówi się o wtyczkach, które są w rzeczywistości złośliwym oprogramowaniem i by zachęcić użytkowników do instalacji, wyglądem i opisem imitują znane i lubiane wtyczki lub w inny sposób pozorują swoje intencje.
Z tego powodu internet okrył się niemałym zaskoczeniem, gdy minionej nocy okazało się, że niebezpieczeństwo mogą stanowić także zwykłe wtyczki.
16 wtyczek i 600 tys. użytkowników. Atak hakerski poruszył internet
A to za sprawą zmasowanego ataku hakerskiego, jaki został dokonany na kilka popularnych rozszerzeń dla przeglądarki Google Chrome. Jak poinformował serwis Hacker News, w ciągu ostatnich kilku dni doszło do kilku ataków na deweloperów wtyczek dostępnych w Chrome Web Store. Atak został dokonany poprzez kampanię phishingową, dzięki której hakerzy otrzymali dostęp do wewnętrznych struktur firm. To z kolei pozwoliło im wprowadzić do wtyczek złośliwy kod wykradający pliki cookie i dający dostęp do przeglądarek niczego nieświadomych internautów.
Pierwszą firmą, która padła ofiarą kampanii phishingowego, była firma Cyberhaven zajmująca się cyberbezpieczeństwem i dystrybuująca własne rozszerzenie dla przeglądarki Google Chrome. 24 grudnia jeden z pracowników stał się celem ataku phishingowego i swoimi działaniami umożliwił hakerom dostęp do wewnętrznych systemów firmy. Według relacji hakerzy przesłali mu wiadomość e-mail, w której podszywali się pod dział wsparcia Chrome Web Store Developer - dział Google'a udzielający wsparcia twórcom wtyczek publikowanych w sklepie Chrome Web Store.
Trzy dni później Cyberhaven opublikowało na swoim blogu wpis, w którym ujawniono, że hakerzy wstrzyknęli do wtyczki złośliwy kod w celu komunikacji z zewnętrznym serwerem dowodzenia i kontroli (C&C) znajdującym się w domenie cyberhavenext[.]pro, pobrania dodatkowych plików konfiguracyjnych i eksfiltracji danych użytkownika.
Wkrótce potem własną analizę incydentu opublikowała firma Secure Annex, która ustaliła, że Cyberhaven jest tylko jedną z szesnastu firm, które padły ofiarą ataku. Pełna lista wtyczek, w których znajduje się złośliwy kod, wygląda następująco:
- AI Assistant - ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
- Tackker - online keylogger tool
- AI Shop Buddy
- Sort by Oldest
- Rewards Search Automator
- ChatGPT Assistant - Smart Search
- Keyboard History Recorder
- Email Hunter
- Visual Effects for Google Meet
- Earny - Up to 20% Cash Back
Większość z tych wtyczek została już usunięta z Chrome Web Store, a niektóre z nich już otrzymały aktualizacje, dzięki której usunięto skutki działania cyberprzestępców. Jednak nie zmienia to faktu, że zainfekowane wtyczki wciąż pozostają zainstalowane na komputerach użytkowników przeglądarki Google Chrome - i nie tylko. Bo ze wtyczek można korzystać także na innych przeglądarkach opartych na silniku Chromium, takich jak Microsoft Edge czy Opera. Szacuje się, że wtyczki ze złośliwym kodem znajdowały się na przeglądarkach około 600 tys. użytkowników.
Wszyscy użytkownicy, którzy posiadali zainstalowaną przynajmniej jedną ze wtyczek, powinni ją jak najszybciej odinstalować i zmienić dosłownie wszystkie hasła, którymi dokonywali logowań - także przed instalacją wtyczki.
Może zainteresować cię także:
Zdjęcie główne: Mamun_Sheikh / Shutterstock
