Laut einer E-Mail an betroffene Kunden, die möglicherweise Opfer dieses mutmaßlichen Supply-Chain-Angriffs waren, heißt es, dass Hacker ein bösartiges Update seiner Chrome-Erweiterung veröffentlicht haben, das in der Lage war, Kundenpasswörter und Sitzungstoken zu stehlen.
Cyberhaven bestätigte den Cyberangriff am Freitag gegenüber Tech, lehnte es jedoch ab, Einzelheiten zu dem Vorfall zu kommentieren.
Eine E-Mail des Unternehmens an Kunden, eingeholt und veröffentlicht Der Sicherheitsforscher Matt Johansen sagte, die Hacker hätten am frühen Morgen des 25. Dezember ein Firmenkonto manipuliert, um ein bösartiges Update für die Chrome-Erweiterung zu veröffentlichen. einschließlich authentifizierter Sitzungen und Cookies, die in die Domäne des Angreifers exfiltriert werden.“
Cyberhaven-Sprecher Cameron Coles lehnte einen Kommentar zu der E-Mail ab, bestritt jedoch nicht deren Echtheit.
In einer kurzen Erklärung per E-Mail teilte Cyberhaven mit, dass sein Sicherheitsteam die Kompromittierung am Nachmittag des 25. Dezember entdeckt habe und dass die bösartige Erweiterung (Version 24.10.4) daraufhin aus dem Chrome Web Store entfernt worden sei. Kurz darauf wurde eine neue legitime Version der Erweiterung (24.10.5) veröffentlicht.
Cyberhaven bietet Produkte an, die angeblich vor Datenexfiltration und anderen Cyberangriffen schützen, darunter Browsererweiterungen, die es dem Unternehmen ermöglichen, Websites auf potenziell bösartige Aktivitäten zu überwachen. Der Chrome Web Store wird angezeigt die Cyberhaven-Erweiterung hat zum Zeitpunkt des Schreibens rund 400.000 Firmenkundennutzer.
Auf Nachfrage von Tech wollte Cyberhaven nicht sagen, wie viele betroffene Kunden es über den Verstoß informiert hatte. Als Kunden nennt das in Kalifornien ansässige Unternehmen die Technologieriesen Motorola, Reddit und Snowflake sowie Anwaltskanzleien und Krankenversicherungsriesen.
Laut der E-Mail, die Cyberhaven an seine Kunden verschickte, sollten betroffene Benutzer „alle Passwörter“ und andere textbasierte Anmeldeinformationen wie API-Tokens „widerrufen“ und „rotieren“. Laut Cyberhaven sollten Kunden auch ihre eigenen Protokolle auf böswillige Aktivitäten überprüfen. (Sitzungstokens und Cookies für angemeldete Konten, die aus dem Browser des Benutzers gestohlen werden, können verwendet werden, um sich bei diesem Konto anzumelden, ohne dass sein Passwort oder Zwei-Faktor-Code erforderlich ist, sodass Hacker diese Sicherheitsmaßnahmen effektiv umgehen können.)
In der E-Mail wird nicht angegeben, ob Kunden auch Anmeldeinformationen für andere im Chrome-Browser gespeicherte Konten ändern sollten, und der Sprecher von Cyberhaven lehnte eine Angabe auf Anfrage von Tech ab.
Der E-Mail zufolge handelte es sich bei dem kompromittierten Firmenkonto um das „einzelne Administratorkonto für den Google Chrome Store“. Cyberhaven sagte nicht, wie das Firmenkonto kompromittiert wurde oder welche Unternehmenssicherheitsrichtlinien vorhanden waren, die die Kontokompromittierung ermöglichten. Das Unternehmen sagte in seiner kurzen Erklärung, dass es „eine umfassende Überprüfung unserer Sicherheitspraktiken eingeleitet hat und auf der Grundlage unserer Erkenntnisse zusätzliche Schutzmaßnahmen implementieren wird“.
Cyberhaven sagte, es habe eine Incident-Response-Firma beauftragt, bei der es sich laut E-Mail an die Kunden um Mandiant handelt, und die „aktiv mit den Strafverfolgungsbehörden des Bundes zusammenarbeitet“.
Jaime Blasco, Mitbegründer und CTO von Nudge Security, sagte in Beiträgen auf X dass mehrere andere Chrome-Erweiterungen offensichtlich als Teil derselben Kampagne kompromittiert wurden, darunter mehrere Erweiterungen mit Zehntausenden von Benutzern.
Blasco sagte gegenüber Tech, dass er die Angriffe immer noch untersucht und zum jetzigen Zeitpunkt davon ausgeht, dass Anfang des Jahres weitere Erweiterungen kompromittiert wurden, darunter einige im Zusammenhang mit KI, Produktivität und VPNs.
„Es scheint, dass es nicht gegen Cyberhaven gerichtet war, sondern vielmehr opportunistisch auf Erweiterungsentwickler abzielte“, sagte Blasco. „Ich glaube, sie haben die Erweiterungen angestrebt, die ihnen möglich waren, basierend auf den Referenzen der Entwickler, über die sie verfügten.“
In seiner Erklärung gegenüber Tech sagte Cyberhaven: „Öffentliche Berichte deuten darauf hin, dass dieser Angriff Teil einer umfassenderen Kampagne war, die auf Entwickler von Chrome-Erweiterungen in einer Vielzahl von Unternehmen abzielte.“ Zum jetzigen Zeitpunkt ist unklar, wer für diese Kampagne verantwortlich ist, und andere betroffene Unternehmen und deren Erweiterungen müssen noch bestätigt werden.