Cyberhaven, une société de cybersécurité basée en Californie, affirme qu'elle a été récemment piratée la veille de Noël et que les pirates ciblaient les extensions Chrome. Cyberhaven ne mentionne pas la raison de l'attaque et ne sait pas actuellement par qui l'attaque a été menée.
Il note cependant qu'il travaille actuellement avec les forces de l'ordre fédérales. L'enquête est également assistée par une autre société de cybersécurité appartenant à Google, appelée Mandiant. Selon Cyberhaven, il ne pense pas avoir été la cible directe du piratage. Au lieu de cela, l’attaque contre son extension Chrome faisait partie d’une attaque plus vaste contre plusieurs extensions Chrome de différentes sociétés.
Aucune de ces autres sociétés n’a été mentionnée. Cependant, le co-fondateur de Nudge Security a déclaré dans un article sur X qu'il avait repéré plusieurs extensions Chrome qui avaient été victimes d'attaques similaires. L'un d'eux semble s'être produit dès la mi-décembre.
Les pirates ont probablement contrôlé certaines extensions Chrome pendant un certain temps
On ne sait pas exactement combien d'extensions étaient sous contrôle après l'attaque, mais au moins celle de Cyberhaven était sous contrôle pendant un peu plus d'une journée. Selon The Record, Cyberhaven affirme avoir supprimé l'extension Chrome malveillante du magasin dans l'heure suivant la détection du problème. Cependant, tous les utilisateurs sur lesquels l’extension était installée étaient vulnérables pendant au moins 30 heures.
Bien que la raison de l'attaque soit inconnue pour le moment, Cyberhaven mentionne que la mise à jour malveillante ajoutée à son extension permettait « l'exfiltration d'informations utilisateur » telles que les mots de passe. Il permettait également d'accéder aux cookies et aux sessions.
Les utilisateurs doivent mettre à jour l'extension, mais pas la supprimer
Alors que l'enquête se poursuit, Cyberhaven affirme avoir recommandé aux utilisateurs de mettre à jour l'extension. Cependant, ils ne devraient pas le supprimer car des parties du code malveillant pourraient être utilisées à des fins d’analyse. Il est également recommandé aux utilisateurs de alterner les mots de passe pour plus de sécurité. De plus, Cyberhaven indique que les utilisateurs doivent vérifier leurs propres journaux pour détecter toute activité malveillante. Compte tenu de la nature de l’attaque, ce serait une sage décision. Comme la mise à jour malveillante de l’extension a probablement donné aux pirates informatiques l’accès à de nombreuses informations sensibles.
Cyberhaven n'a pas donné de détails précis sur l'attaque. Il ne mentionne cependant pas qu'un de ses employés a été visé par une « attaque avancée ». Certains suggèrent qu'un e-mail de phishing pourrait être à l'origine de la compromission du compte de cet employé.
