ส่วนขยายความปลอดภัยของ Chrome ถูกแฮ็กเพื่อขโมยข้อมูลผู้ใช้

ส่วนขยาย Chrome อย่างน้อยห้าส่วนถูกบุกรุกในการโจมตีแบบประสานงาน ซึ่งผู้คุกคามสามารถฉีดโค้ดที่ขโมยข้อมูลละเอียดอ่อนจากผู้ใช้ได้สำเร็จ

นี่คือข้อมูลที่ได้รับจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก Cyberhaven บริษัทรักษาความปลอดภัยข้อมูลที่มีฐานอยู่ในสหรัฐอเมริกาได้เตือนลูกค้าของตนเกี่ยวกับการละเมิดที่เกิดขึ้นเมื่อวันที่ 24 ธันวาคม ต่อเนื่องจากแคมเปญฟิชชิ่งที่กำหนดเป้าหมายบัญชีผู้ดูแลระบบของบริษัทใน Google Chrome Store ที่ประสบความสำเร็จ

ลูกค้าของ Cyberhaven โดดเด่นด้วยแบรนด์ยอดนิยม เช่น Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart และ Kirkland & Ellis

แฮกเกอร์เข้าควบคุมบัญชีพนักงานและปล่อยส่วนขยาย Cyberhaven เวอร์ชันที่เป็นอันตราย (24.10.4) ซึ่งรวมถึงโค้ดที่สามารถขโมยเซสชันที่ผ่านการรับรองและคุกกี้ไปยังโดเมนของผู้โจมตี (cyberhavenext[.]pro)

ทีมงานรักษาความปลอดภัยภายในของ Cyberhaven ได้ลบแพ็คเกจมัลแวร์ออกไปภายในหนึ่งชั่วโมงหลังจากตรวจพบ บริษัทกล่าวในอีเมลถึงลูกค้า

ส่วนขยายเวอร์ชันสะอาดคือ v24.10.5 ซึ่งเปิดตัวเมื่อวันที่ 26 ธันวาคม นอกจากการอัปเกรดเป็นเวอร์ชันล่าสุดแล้ว ผู้ใช้ส่วนขยาย Chrome ของ Cyberhaven ยังได้รับคำแนะนำให้เพิกถอนรหัสผ่านที่ไม่ใช่ FIDOv2 เปลี่ยนโทเค็น API ทั้งหมด และตรวจสอบบันทึกเบราว์เซอร์เพื่อประเมินกิจกรรมที่เป็นอันตราย

ส่วนขยาย Chrome หลายรายการถูกแฮ็ก

หลังจากการเปิดเผยข้อมูลของ Cyberhaven นักวิจัยของ Nudge Security อย่าง Jaime Blasco ได้ทำการสืบสวนอย่างละเอียดมากขึ้น โดยเปลี่ยนเส้นทางจากที่อยู่ IP และชื่อโดเมนที่จดทะเบียนของผู้โจมตี

ตามที่ Blasco ระบุ โค้ดที่เป็นอันตรายซึ่งช่วยให้ส่วนขยายสามารถรับคำสั่งจากผู้โจมตีได้นั้น ยังได้ถูกฉีดเข้าไปในส่วนขยาย Chrome อื่นๆ ในเวลาเดียวกันด้วย:

• Internxt VPN – VPN ฟรีที่เข้ารหัสและไม่จำกัดสำหรับการท่องเว็บอย่างปลอดภัย (10,000 ผู้ใช้งาน)
• VPNCity – VPN ที่เน้นความเป็นส่วนตัวพร้อมการเข้ารหัส AES 256 บิตและการครอบคลุมเซิร์ฟเวอร์ทั่วโลก (50,000 ผู้ใช้งาน)
• Uvoice – บริการรางวัลสำหรับการสะสมคะแนนผ่านการสำรวจและการให้ข้อมูลการใช้งานพีซี (40,000 ผู้ใช้งาน)
• ParrotTalks – เครื่องมือค้นหาข้อมูลสำหรับการจดข้อความและบันทึกอย่างราบรื่น (40,000 ผู้ใช้งาน)
• Blasco พบโดเมนหลายโดเมนที่ชี้ไปยังเหยื่อที่มีศักยภาพรายอื่นหลายราย แต่จนถึงขณะนี้ มีเพียงส่วนขยายที่ระบุข้างต้นเท่านั้นที่ได้รับการยืนยันว่ามีโค้ดที่เป็นอันตราย

ขอแนะนำให้ผู้ใช้ส่วนขยายเหล่านี้ลบออกจากเบราว์เซอร์ทันที หรืออัปเกรดเป็นเวอร์ชันที่ปลอดภัยซึ่งเปิดตัวหลังวันที่ 26 ธันวาคม หลังจากที่มั่นใจว่าผู้เผยแพร่ทราบถึงปัญหาความปลอดภัยและได้แก้ไขปัญหาแล้ว

หากคุณไม่แน่ใจ ควรถอนการติดตั้งส่วนขยาย รีเซ็ตรหัสผ่านบัญชีที่สำคัญ ล้างข้อมูลเบราว์เซอร์ และรีเซ็ตการตั้งค่าเบราว์เซอร์เป็นค่าเริ่มต้นจากโรงงาน