سرقت 16 افزونه کروم برای تزریق کد مخرب

به گزارش کارگروه امنیت سایبربان؛ در یک کمپین پیچیده حمله سایبری که از اواسط دسامبر امسال آغاز شد، هکرها حداقل 16 افزونه مرورگر کروم را در معرض خطر و بیش از 600 هزار کاربر را در معرض سرقت احتمالی داده‌ها قرار دادند.

این نقض که از طریق مجموعه‌ای از گزارش‌ها و اظهارات شرکت‌های آسیب دیده آشکار شد، نگرانی‌های قابل توجهی در مورد امنیت افزونه‌های مرورگر ایجاد کرده است.

«Cyberhaven»، شرکت حفاظت از داده مستقر در کالیفرنیا، جزء اولین شرکت‌هایی بود که این نقض را تأیید کرد. این شرکت فاش کرد که در شب کریسمس، یک حمله فیشینگ اعتبار یک کارمند را به خطر انداخته و به هکرها اجازه داده نسخه مخرب افزونه کروم خود (نسخه 24.10.4) را منتشر کنند.

تحت تأثیر قرار گرفتن برنامه‌های افزودنی کروم

این نسخه حاوی کد طراحی شده برای سرقت اطلاعات حساس از جمله رمز عبور و نشانه‌های جلسه، به ویژه هدف قرار دادن تبلیغات رسانه‌های اجتماعی و پلتفرم‌های هوش مصنوعی است.

حمله تنها علیه Cyberhaven نبود. کارشناسان امنیت سایبری از جمله جیمی بلاسکو (Jaime Blasco) از «Nudge Security»، چندین افزونه دیگر را شناسایی کرده‌اند که به طور مشابه به خطر افتاده‌اند؛ اینها شامل برنامه‌های افزودنی مربوط به وی‌پی‌ان‌ها، هوش مصنوعی، بهره‌وری و حتی دانلود کننده‌های ویدیو می‌شود که رویکردی گسترده و فرصت‌طلبانه توسط هکرها برای جمع‌آوری تا حد امکان داده‌های حساس را پیشنهاد می‌کند.

این جدول شامل برنامه‌های افزودنی مربوط به هوش مصنوعی، وی‌پی‌ان‌ها و ابزارهای بهره‌وری است که در کمپین حمله به طور بالقوه در معرض خطر قرار گرفتند.

کد مخرب به مدت تقریباً 25 ساعت از 24 تا 26 دسامبر 2024 فعال بود و فقط روی آن دسته از نصب‌های کروم تأثیر گذاشت که در این مدت به‌طور خودکار به‌روزرسانی می‌شدند.

تیم امنیت داخلی Cyberhaven نفوذ را در روز کریسمس شناسایی، به سرعت افزونه مخرب را از فروشگاه وب کروم حذف و آن را با نسخه ایمن (24.10.5) جایگزین کرد.

Cyberhaven چندین گام در پاسخ به این نقض برداشته است:

• به مشتریان متأثر در 26 دسامبر اطلاع داده شد.
• شرکت پاسخگویی به حوادث خارجی ماندیانت (Mandiant) برای تجزیه و تحلیل پزشکی قانونی استخدام شد.
• تدابیر امنیتی اضافی برای جلوگیری از حوادث آتی به اجرا درآمد.
• به مشتریان توصیه شد که برنامه‌های افزودنی خود را به‌روز کنند، رمزهای عبور را تغییر دهند و گزارش‌های مربوط به فعالیت مشکوک را بررسی کنند.

Cyberhaven گفت:

«ما هیچ وب‌سایت هدف دیگری را نیافته‌ایم و همین امر باعث می‌شود باور کنیم که این حمله یک حمله عمومی و غیرهدفمند با هدف کاربران تبلیغاتی فیس‌بوک بوده است.»

دامنه جغرافیایی این حمله نامشخص است، اما با توجه به استفاده گسترده از افزونه‌های کروم، پیامدهای آن جهانی است.

افزونه‌های مرورگر، که اغلب به عنوان ابزارهای بی‌ضرر برای افزایش تجربه مرور وب در نظر گرفته می‌شوند، به دلیل مجوزهای گسترده‌ای که به آنها داده می‌شود، به یک هدف نرم برای مجرمان سایبری تبدیل شده‌اند که می‌تواند شامل دسترسی به کوکی‌ها، اطلاعات هویتی و موارد دیگر باشد.

این حادثه بر آسیب‌پذیری افزونه‌های مرورگر و نیاز به اقدامات امنیتی بیشتر تأکید می‌کند. تحقیقات در حال انجام با هدف کشف گستره کامل نقض و شناسایی عاملان پشت این کمپین گسترده است.

با ادامه روند تکامل چشم‌انداز دیجیتال، این حمله به عنوان یادآوری جدی برای توسعه دهندگان و کاربران است که مراقب امنیت افزونه‌های مرورگر باشند و اطمینان حاصل کنند که آنها به طور منظم به‌روزرسانی می‌شوند و منبع معتبر دارند.