تم اختراق ملحق أمان Chrome لسرقة بيانات المستخدم

تم اختراق ما لا يقل عن خمسة ملحقات Chrome في هجوم منسق، حيث نجح أحد الجهات الفاعلة في حقن الكود الذي سرق معلومات حساسة من المستخدمين.

هذه هي المعلومات التي قدمها خبراء الأمن السيبراني في Cyberhaven. حذرت شركة أمن البيانات التي يقع مقرها في الولايات المتحدة عملاءها من خرق حدث في 24 ديسمبر، بعد حملة تصيد ناجحة استهدفت حساب المسؤول الخاص بالشركة على متجر Google Chrome.

ومن بين أبرز عملاء Cyberhaven العلامات التجارية الشهيرة مثل Snowflake وMotorola وCanon وReddit وAmeriHealth وCooley وIVP وNavan وDBS وUpstart وKirkland & Ellis.

استولى المتسللون على حسابات الموظفين وأصدروا نسخة خبيثة (24.10.4) من ملحق Cyberhaven، والذي تضمن كودًا يمكنه سرقة الجلسات المصادق عليها وملفات تعريف الارتباط إلى نطاق المهاجم (cyberhavenext[.]pro).

وقالت الشركة في رسالة بالبريد الإلكتروني إلى العملاء إن فريق الأمن الداخلي في شركة سايبرهافن نجح في إزالة حزمة البرامج الضارة في غضون ساعة من اكتشافها.

تم إصدار الإصدار النظيف من الامتداد v24.10.5 في 26 ديسمبر. بالإضافة إلى الترقية إلى أحدث إصدار، يُنصح مستخدمي امتداد Cyberhaven Chrome بإلغاء كلمات المرور غير FIDOv2 وتغيير جميع رموز واجهة برمجة التطبيقات ومراجعة سجلات المتصفح لتقييم النشاط الضار.

تم اختراق العديد من ملحقات Chrome

بعد الكشف عن Cyberhaven، أجرى الباحث في Nudge Security، Jaime Blasco، تحقيقًا أعمق، وأعاد التوجيه من عنوان IP الخاص بالمهاجم واسم المجال المسجل.

وفقًا لـ Blasco، تم حقن الكود الخبيث الذي سمح للامتداد بتلقي الأوامر من المهاجم في امتدادات Chrome الأخرى في نفس الوقت:

• Internxt VPN – VPN مجانية ومشفرة وغير محدودة لتصفح الويب بشكل آمن. (10,000 مستخدم)
• VPNCity – شبكة VPN تركز على الخصوصية مع تشفير AES 256 بت وتغطية خادم عالمية. (50,000 مستخدم)
• Uvoice – خدمة تعتمد على المكافآت لكسب النقاط من خلال الاستطلاعات وتوفير بيانات استخدام الكمبيوتر الشخصي. (40,000 مستخدم)
• ParrotTalks – محرك بحث معلوماتي متخصص في كتابة النصوص وتدوين الملاحظات بسلاسة. (40,000 مستخدم)
• عثر Blasco على العديد من المجالات التي تشير إلى العديد من الضحايا المحتملين الآخرين، ولكن حتى الآن تم تأكيد أن الامتدادات المذكورة أعلاه فقط تحتوي على تعليمات برمجية ضارة.

ننصح مستخدمي هذه الإضافات بإزالتها فورًا من متصفحاتهم أو ترقيتها إلى إصدار آمن تم إصداره بعد 26 ديسمبر، بعد التأكد من أن الناشر على علم بمشكلة الأمان وقام بإصلاحها.

إذا لم تكن متأكدًا، فمن الأفضل إلغاء تثبيت الامتداد، وإعادة تعيين كلمات مرور الحسابات المهمة، ومسح بيانات المتصفح، وإعادة تعيين إعدادات المتصفح إلى إعدادات المصنع.