Un recente attacco ha preso di mira estensioni del browser Chrome, portando alla compromissione di almeno 35 estensioni e mettendo a rischio oltre 2,6 milioni di utenti. Gli attaccanti hanno sfruttato una campagna di phishing per ottenere accesso agli account dei publisher delle estensioni sul Chrome Web Store, consentendo l'inserimento di codice malevolo. Questo codice è stato progettato per rubare cookie e token di accesso degli utenti.

La società di sicurezza informatica Cyberhaven è stata tra le prime a scoprire e divulgare l'attacco, dopo che uno dei loro dipendenti è stato colpito da un'email di phishing il 24 dicembre. Questa email, apparentemente proveniente dal supporto sviluppatori di Google Chrome Web Store, ingannava i destinatari facendo credere che le loro estensioni fossero a rischio di rimozione per violazioni delle politiche del programma sviluppatori.

Una volta ottenuti i permessi necessari, gli attaccanti hanno caricato una versione malevola dell'estensione sul Chrome Web Store. Questo attacco dimostra come le estensioni del browser possano diventare un punto debole per la sicurezza web, poiché spesso richiedono permessi estesi che includono l'accesso a informazioni sensibili come cookie e token di accesso.

Indagini e scoperte successive

Secondo Jamie Blasco, CTO di Nudge Security, ulteriori indagini hanno rivelato altri domini associati all'attacco, collegati allo stesso server di comando e controllo utilizzato per compromettere Cyberhaven. Piattaforme di sicurezza per estensioni del browser come Secure Annex e Extension Total hanno identificato altre estensioni sospette, tra cui "AI Assistant" e "Bard AI Chat Extension".

L'attacco sembra essere parte di una campagna più ampia, attiva almeno dal 5 aprile 2023, e potenzialmente collegata a domini registrati già nel 2021. Gli attaccanti hanno utilizzato un'applicazione OAuth malevola per ottenere i permessi necessari e caricare estensioni compromesse, alcune delle quali progettate per esfiltrare dati mascherandosi da funzionalità di “navigazione sicura”.

Questo incidente sottolinea l'importanza di monitorare attentamente le estensioni installate su dispositivi aziendali, poiché anche una volta rimosse dal Chrome Web Store, le versioni compromesse possono continuare a rappresentare una minaccia se installate sui dispositivi degli utenti.