Компания Cyberhaven сообщила о значительной бреши в системе безопасности, связанной с ее расширением Chrome.
Описание
24 декабря 2024 года в результате целенаправленной кибератаки была взломана учетная запись администратора, что позволило злоумышленникам опубликовать вредоносное обновление (версия 24.10.4) в Интернет-магазине Chrome. Обновление было автоматически развернуто среди пользователей в начале 25 декабря 2024 года.
Вредоносное расширение позволило злоумышленникам переправить конфиденциальные данные пользователей, включая аутентифицированные сессии и файлы cookie, на неавторизованный домен (cyberhavenext[.]pro).
Домен эксфильтрации оставался активным с 1:32 AM UTC 25 декабря до 2:50 AM UTC 26 декабря, представляя собой критический риск для безопасности данных пользователей.
Команда внутренней безопасности Cyberhaven обнаружила компрометацию в 23:54 UTC 25 декабря и в течение часа удалила вредоносный пакет.
26 декабря была выпущена чистая версия (24.10.5), в которой вредоносный код был удален. Cyberhaven также готовит дополнительное обновление (24.10.6) с функциями телеметрии, которые помогут выявить пострадавшие конечные точки.
Indicators of Compromise
IPv4
- 149.248.2.160
- 149.28.124.84
Domains
- cyberhavenext.pro
SHA1
- 0b871bdee9d8302a48d6d6511228caf67a08ec60
- ac5cc8bcc05ac27a8f189134c2e3300863b317fb
SHA256
- b53007dc2404dc3a4651db2756c773aa8e48c23755eba749f1641542ae796398
