數據防止損失初創公司Cyberhaven表示,駭客發布了一個惡意更新,使其Chrome擴展程式能夠竊取客戶密碼和會話令牌。根據發送給受影響客戶的電子郵件,這可能是一起涉嫌的供應鏈攻擊。
Cyberhaven在周五向TechCrunch確認了這起網絡攻擊,但拒絕就事件的具體細節發表評論。
公司發送給客戶的一封電子郵件,由安全研究人員Matt Johansen取得並發表,稱駭客侵犯了公司帳戶,在12月25日凌晨發表了一個帶有惡意更新的Chrome擴展程式。該電子郵件說,對於運行受感染瀏覽器擴展的客戶,“可能導致敏感信息,包括已驗證的會話和cookie,被外洩到攻擊者的域名。”
Cyberhaven發言人Cameron Coles拒絕就該郵件發表評論,但並未否認其真實性。
Cyberhaven在一封簡短的電子郵件聲明中表示,其安全團隊在12月25日下午檢測到了入侵,然後將那個帶有惡意意向的擴展程式(版本24.10.4)從Chrome網店中刪除。很快發布了一個新的合法版本的擴展程式(24.10.5)。
Cyberhaven提供產品,用來保護免受數據外泄和其他網絡攻擊,包括瀏覽器擴展程式,允許公司監控網站可能的惡意活動。根據Chrome網店的顯示,Cyberhaven擴展程式在撰寫時約有40萬企業客戶用戶。
當TechCrunch詢問時,Cyberhaven拒絕透露有多少受影響的客戶已被通知有關此次違規行為。這家位於加利福尼亞州的公司列出技術巨頭Motorola、Reddit和Snowflake作為客戶,還有律師事務所和健康保險巨頭。
根據Cyberhaven發送給客戶的郵件,受到影響的用戶應“撤銷”並“更換所有密碼”和其他基於文本的憑證,如API令牌。Cyberhaven表示,客戶還應該檢查自己的日誌,以查看是否存在惡意活動。(從用戶瀏覽器竊取的已登錄帳戶的會話令牌和cookie可以用於登錄該帳戶,而無需使用密碼或雙因素驗證碼,從而使駭客能夠繞過這些安全措施。)
該電子郵件沒有明確指出客戶是否應該更改Chrome瀏覽器中存儲的其他帳戶的任何憑證,而Cyberhaven的發言人在被TechCrunch詢問時拒絕進一步說明。
根據電子郵件,被入侵的公司帳戶是“Google Chrome商店的單個管理員帳戶”。Cyberhaven並未說明該公司帳戶是如何被入侵的,或者允許帳戶被入侵的公司安全政策是什麼。該公司在其簡短聲明中表示,他們已“根據我們的調查結果啟動全面審核我們的安全實踐,並將實施額外的保障措施。”
Cyberhaven表示已聘請了一家事件應變公司,根據向客戶發送的電子郵件,這家公司是Mandiant,並“正在積極與聯邦執法機構合作。”
Nudge Security的聯合創始人兼CTO Jaime Blasco在X上發布了帖子,表示其他幾個Chrome擴展也遭到了攻擊,顯然是同一個攻擊活動的一部分,其中包括幾個用戶數以萬計的擴展程式。
Blasco告訴TechCrunch,他仍在調查這些攻擊,並且目前認為在今年早些時候可能還有更多擴展程式遭到入侵,包括一些與人工智能、生產力和VPN有關的擴展程式。
“這似乎並不是針對Cyberhaven,而是利用機會瞄準擴展程式開發者。”Blasco說。 “我認為他們根據他們所擁有的開發者憑證,去找可以攻擊的擴展程式。”
Cyberhaven在發給TechCrunch的聲明中表示,“公開報告表明這次攻擊是針對一系列公司的Chrome擴展開發者的更廣泛活動的一部分。”目前尚不清楚誰對這次行動負責,其他受影響公司及其擴展程式尚未獲確認。
