Хакери ввели шкідливий код у кілька розширень для Google Chrome: видаліть їх негайно

Cyberhaven, природно, почала власне розслідування інциденту. Вона з'ясувала, що всі розширення для браузера були заражені, починаючи з середини грудня. Власна розробка Cyberhaven була таємно модифікована 24 грудня. Крім того, постраждали такі розширення, як ParrotTalks, Uvoice і VPNCity, повідомляє 24 Канал з посиланням на Reuters.

Дивіться також У США виявили вже дев'ятого провайдера, якого зламали китайські державні хакери

Деталі

26 грудня Cyberhaven звернулася до своїх клієнтів з проханням змінити паролі та інші облікові дані.

Початкове розслідування інциденту, проведене компанією, показало, що таємно інтегровані шкідливі функції розширення були націлені на користувачів Facebook, зокрема рекламної платформи соцмережі, з метою викрадення таких даних, як токени доступу, ідентифікатори користувачів та інша інформація про облікові записи, а також файли cookie. Код також додавав відслідковування кліків миші.

Після успішної відправки всіх даних на сервер ідентифікатор користувача Facebook зберігається в пам'яті браузера. Цей ідентифікатор користувача потім використовується в подіях клацання мишею, щоб допомогти зловмисникам з двофакторною автентифікацією на їхньому боці, якщо це було необхідно,
– пишуть дослідники.

Cyberhaven заявила, що вперше виявила атаку 25 грудня. Шкідлива версія розширення була негайно видалена. З того часу компанія випустила оновлену чисту версію, яку вже можна встановити без остраху. Але чи зробили це інші розробники, наразі невідомо.

Серед інших постраждалих є розширення, пов'язані зі штучним інтелектом і віртуальними приватними мережами. Як пише джерело, Американська організація з нагляду за кібербезпекою CISA "переадресувала питання причетним компаніям", але про їхню реакцію нічого не згадується. Імовірно, вони також внесуть зміни в свої продукти.