Siber Saldırı, Meşru Chrome Eklentilerini Vuruyor, Hassas Kullanıcı Verilerini Açığa Çıkarıyor

En az beş Google Chrome eklentisi, kullanıcı bilgilerini çalmak için tasarlanmış kötü amaçlı kodları içeren bir siber saldırı sonucunda tehlikeye atıldı, bunu Bleeping Computer bildirdi.

Bu ihlal ilk olarak 24 Aralık’ta, müşterilerini Chrome Web Mağazası için bir yönetici hesabının başarıyla hedef alındığı phishing saldırısı sonrası uyarıda bulunan bir veri kaybı önleme şirketi olan Cyberhaven tarafından açıklanmıştır.

Ekibimiz, Noel Arifesi’nde gerçekleşen ve Cyberhaven’ın Chrome eklentisini etkileyen zararlı bir siber saldırıyı teyit etti. İşte olay hakkındaki yazımız ve atacağımız adımlar: https://t.co/VTBC73eWda

Güvenlik ekibimiz, etkilenen müşterilere yardımcı olmak için 24/7 hizmetinizdedir ve…

— Cyberhaven (@CyberhavenInc) 27 Aralık 2024

Bleeping Computer, saldırının hacker’a yönetici hesabını ele geçirme ve Cyberhaven eklentisinin kötü amaçlı bir versiyonunu yayınlama imkanı sağladığını açıklıyor. Bu versiyon, yetkilendirilmiş oturumları ve çerezleri çalma ve onları saldırganın alan adına gönderme potansiyeline sahip bir kodu içeriyordu.

Saldırıdan etkilenen Cyberhaven müşterileri arasında Snowflake, Motorola, Canon, Reddit ve Kirkland & Ellis gibi büyük şirketler bulunmaktadır. Bleeping Computer’ın bildirdiğine göre, Cyberhaven’ın dahili güvenlik ekibi, tespitten bir saat içinde kötü niyetli eklentiyi kaldırdı.

Cyberhaven, saldırıyı bir phishing e-postasına bağlıyor ve ayrı bir teknik analizde kodun özellikle Facebook Ads hesaplarını hedeflemek üzere tasarlandığı göründüğünü belirtiyor.

TechCrunch Chrome Web Mağazası’nın Cyberhaven uzantısı için yaklaşık 400.000 kurumsal kullanıcıya sahip olduğunu belirtti. TechCrunch’ın sorduğunda, Cyberhaven, ihlal hakkında bilgilendirilen etkilenen müşteri sayısını açıklamayı reddetti.

Buna yanıt olarak, uzantının temiz bir versiyonu 26 Aralık’ta yayınlandı. Cyberhaven, kullanıcılarına bu en son versiyona yükseltmeyi ve ek önlemler almayı, örneğin uzantının 24.10.5 veya daha yeni bir versiyona güncellenmiş olduğunu doğrulamayı tavsiye etti.

Ayrıca, Cyberhaven, FIDOv2 kullanmayan tüm şifrelerin iptal edilmesi ve döndürülmesi, ayrıca tarayıcı kayıtlarınızın herhangi bir şüpheli aktivite için gözden geçirilmesi konusunda tavsiyede bulunmaktadır.

Bleeping Computer, olayın Cyberhaven’ın eklentisinin ötesine geçtiğini ve daha fazla araştırmaların, birkaç başka Chrome eklentisinin de etkilendiğini ortaya çıkardığını belirtiyor. Nudge Güvenlik araştırmacısı Jaime Blasco, saldırganın IP adreslerini ve alanlarını analiz ederek saldırının kökenlerini izledi.

Cyberhaven chrome eklentisinin tehlikeye atılmasıyla ilgili olarak, diğer eklentilerin de etkilendiğine inanacak sebeplerim var. IP adresine göre dönüş yapıldığında, cyberhavenext[.]pro ile aynı IP adresine çözümlenen daha fazla alan adının aynı zaman aralığında oluşturulduğunu görüyoruz (devam)

— Jaime Blasco (@jaimeblascob) 27 Aralık 2024

Blasco, kötü amaçlı kod parçacığının Bleeping Computer tarafından bildirildiği gibi aynı zamanda birçok eklentiye enjekte edildiğini doğruladı.

Bunlar arasında 10.000 kullanıcısı olan Internxt VPN, 50.000 kullanıcısı olan gizlilik odaklı bir VPN hizmeti olan VPNCity, 40.000 kullanıcısı olan ödül tabanlı bir hizmet olan Uvoice ve 40.000 kullanıcısı olan bir not alma aracı olan ParrotTalks bulunmaktadır.

Bleeping Computer, Blasco’nun ek potansiyel kurbanları tespit ettiğini söylerken, yukarıda listelenen eklentilerin yalnızca zararlı kodu içerdiği doğrulandı. Bu etkilenen eklentilerin kullanıcılarına, onları kaldırmaları veya 26 Aralık’tan sonra yayınlanan güvenli sürümlere güncelleme yapmaları önerilir.

Eklentilerinin güvenliğinden emin olmayanlar için, etkilenen eklentilerin kaldırılması, önemli şifrelerin sıfırlanması, tarayıcı verilerinin temizlenmesi ve tarayıcı ayarlarının varsayılanlarına geri yüklenmesi önerilir.