Стартап по предотвращению потери данных Cyberhaven сообщает, что хакеры опубликовали вредоносное обновление для его расширения Chrome, которое было способно украсть пароли клиентов и токены сеансов, согласно электронному письму, отправленному пострадавшим клиентам, которые могли стать жертвами этой предполагаемой атаки на цепочку поставок.
Cyberhaven подтвердила TechCrunch информацию о кибератаке в пятницу, но отказалась комментировать подробности инцидента.
В электронном письме от компании, разосланном клиентам, полученном и опубликованном исследователем безопасности Мэттом Йохансеном, говорится, что хакеры взломали учетную запись компании, чтобы опубликовать вредоносное обновление расширения Chrome ранним утром 25 декабря. В электронном письме говорилось, что для клиентов, использующих скомпрометированное расширение браузера, «конфиденциальная информация, включая аутентифицированные сеансы и файлы cookie, может попасть в домен злоумышленника».
Представитель Cyberhaven Кэмерон Коулз отказался комментировать электронное письмо, но не оспаривал его подлинность.
В кратком заявлении, отправленном по электронной почте, Cyberhaven сообщила, что ее команда безопасности обнаружила взлом во второй половине дня 25 декабря, и что вредоносное расширение (версия 24.10.4) было затем удалено из Интернет-магазина Chrome. Вскоре после этого была выпущена новая легальная версия расширения (24.10.5).
Cyberhaven предлагает продукты, которые, по ее словам, защищают от кражи данных и других кибератак, включая расширения для браузера, которые позволяют компании отслеживать потенциально вредоносную активность на веб-сайтах. Интернет-магазин Chrome показывает, что на момент написания у расширения Cyberhaven около 400 000 корпоративных пользователей.
На вопрос TechCrunch Cyberhaven отказалась сообщить, скольким затронутым клиентам она уведомила о взломе. В число клиентов калифорнийской компании входят технологические гиганты Motorola, Reddit и Snowflake, а также юридические фирмы и гиганты медицинского страхования.
Согласно электронному письму, которое Cyberhaven разослала своим клиентам, затронутые пользователи должны «отозвать» и «поменять все пароли» и другие текстовые учетные данные, такие как токены API. Cyberhaven заявила, что клиентам также следует проверять свои собственные журналы на предмет вредоносной активности. (Токены сеанса и файлы cookie для учетных записей, украденные из браузера пользователя, могут использоваться для входа в эту учетную запись без необходимости ввода пароля или двухфакторного кода, что позволяет хакерам обходить эти меры безопасности.)
В электронном письме не уточняется, должны ли клиенты также менять какие-либо учетные данные для других учетных записей, хранящихся в браузере Chrome, а представитель Cyberhaven отказался уточнить ответ на вопрос TechCrunch.
Согласно электронному письму, скомпрометированная учетная запись компании представляла собой «единую учетную запись администратора магазина Google Chrome». Cyberhaven не сообщила, как была скомпрометирована учетная запись компании или какие корпоративные политики безопасности были приняты, что позволило скомпрометировать учетную запись. В своем кратком заявлении компания заявила, что «начала всестороннюю проверку наших методов обеспечения безопасности и будет внедрять дополнительные меры безопасности на основе наших выводов».
Cyberhaven заявила, что наняла фирму по реагированию на инциденты, которая, как указано в электронном письме клиентам, называется Mandiant, и «активно сотрудничает с федеральными правоохранительными органами».
Хайме Бласко, соучредитель и технический директор Nudge Security, заявил в сообщениях на X, что несколько других расширений Chrome были скомпрометированы как, очевидно, часть той же кампании, включая несколько расширений с десятками тысяч пользователей.
Бласко сообщил TechCrunch, что он все еще расследует атаки и на данный момент полагает, что в начале этого года было скомпрометировано больше расширений, в том числе некоторые, связанные с искусственным интеллектом, производительностью и VPN.
«Похоже, что оно было направлено не против Cyberhaven, а скорее против разработчиков расширений», — сказал Бласко. «Я думаю, что они пошли за расширениями, которые могли, основываясь на имеющихся у них учетных данных разработчиков».
В своем заявлении для TechCrunch Cyberhaven заявила, что «публичные сообщения предполагают, что эта атака была частью более широкой кампании, нацеленной на разработчиков расширений Chrome в широком спектре компаний». На данный момент неясно, кто несет ответственность за эту кампанию, а другие затронутые компании и их расширения еще не подтверждены.
